WPA3 (Wi-Fi Protected Access 3) to najnowszy standard zabezpieczeń sieci Wi-Fi, który zastępuje WPA2 i oferuje znacznie wyższy poziom ochrony danych. Stanowi efekt wieloletniego rozwoju technologii bezprzewodowej i odpowiedź na rosnące zagrożenia związane z cyberbezpieczeństwem.

 

Technologia Wi-Fi (ang. wireless fidelity) towarzyszy nam nieprzerwanie od 1997 roku. To właśnie wtedy stowarzyszenie Wi-Fi Alliance zaprezentowało standard łączności radiowej, który wprowadził rewolucję taniego i ogólnodostępnego Internetu oraz możliwości tworzenia lokalnych sieci bezprzewodowych. Rozwój zabezpieczeń wyglądał następująco:
 

1. Początkowo szyfrowaniem kluczy dostępowych do takich sieci zajmował się standard WEP, który nie spełniał jednak nawet niespecjalnie rygorystycznych wymagań w kwestii cyberbezpieczeństwa, a jego złamania nie stanowiło żadnego wyzwania.

2. W 2006 roku pojawił się nowy standard o nazwie WPA, jednak wraz ze wsteczną kompatybilnością ze standardem WEP odziedziczył on również jego podatności.

3. Prawdziwą różnicę zrobił standard WEP2, korzystający z 256-bitowego szyfrowania CCMP/AES, który używany jest po dziś dzień.

4. Stracił on już jednak status najnowocześniejszego standardu Wi-Fi, ponieważ w 2018 roku powstała kolejna iteracja WPA, czyli WPA3, która po raz kolejny uszczelniła luki bezpieczeństwa poprzednika, o których specjaliści mówili już od dawna.


Prawdziwą różnicę zrobił standard WEP2, korzystający z 256-bitowego szyfrowania CCMP/AES, który używany jest po dziś dzień. Stracił on już jednak status najnowocześniejszego standardu Wi-Fi, ponieważ w 2018 roku powstała kolejna iteracja WPA, czyli WPA3, która po raz kolejny uszczelniła luki bezpieczeństwa poprzednika, o których specjaliści mówili już od dawna.


W porównaniu z WPA3 standard WPA2 jest podatny na ataki siłowe (brute force) i słownikowe. Do najbardziej palących problemów i podatności standardu należy podatność na atak KRACK (ang. Key Reinstallation Attacks) odkryty w 2017 roku przez Mathy’ego Vanhoefa. Chwilę po ujawnieniu problemu przez wspomnianego autora w swojej pracy naukowej, polskie i zagraniczne media internetowe obiegła informacja o nowym rodzaju ataku, na który podatne są wszystkie urządzenia Wi-Fi wyposażone w standard WPA2. Stosowny komunikat wydało nawet polskie Ministerstwo Cyfryzacji oraz podobne organy innych państw.


Sam atak polega na przechwyceniu jednorazowego klucza kryptograficznego wykorzystywanego do uwierzytelniania połączeń przez routery zabezpieczone w ten sposób. Dzieje się to w trzecim z czterech etapów procesu (tzw. handshake). Producenci sprzętu (zarówno routerów, jak i komputerów, smartfonów itp.) w większości przypadków zdążyli poradzić sobie z tą podatnością za pomocą aktualizacji oprogramowania, jednak nie zlikwidowało to problemu całkowicie.


WPA3 istnieje na rynku już kilka lat (od roku 2018) i choć początkowo implementacja nowego standardu w urządzeniach Wi-Fi nie była obowiązkowa, to od 1 lipca 2020 roku organizacja Wi-Fi Alliance wymaga, by certyfikowane przez nią urządzenia były już zgodne z najnowszym standardem. Możemy więc uznać, że sprzęt zaufanych producentów, którym na tej certyfikacji zależy, jest już powszechnie wykorzystywany w przestrzeni domowej i biznesowej. 

Choć niedaleka przyszłość z pewnością przyniesie nam informacje o podatnościach WPA3, obecnie najnowszy protokół oferuje olbrzymią poprawę bezpieczeństwa względem poprzednika. Najważniejsze różnice techniczne wypunktujemy poniżej.

• Różnica w standardzie i sile szyfrowania: protokół WPA2 wykorzystywał szyfrowanie za pomocą algorytmu AES/CCMP, ustępującego niezawodnością i wydajnością wykorzystywanemu przez WPA3 algorytmu AES w trybie GCM (Galois/Counter). WPA3 wykorzystuje ponadto szyfrowanie w oparciu o klucze 192-bitowe (w sieciach korporacyjnych) lub 128-bitowe (w sieciach domowych).
• Urządzenia wyposażone w obsługę protokołu WPA3 nie są już podatne na ataki KRACK dzięki zastosowaniu technologii uwierzytelniania równych stron SAE (ang. Simultaneous Authentication of Equals), na rzecz którego porzucono wykorzystywany dotąd klucz PSK. Zastosowanie modelu Enhanced Open, szyfrującego poszczególne połączenia użytkownika z otwartą siecią Wi-Fi, zmniejsza ryzyko wystąpienia skutecznych ataków typu Man-in-the-Middle.
• WPA3 pozwala na automatyczną blokadę połączenia po kilku nieudanych próbach wpisania hasła, co minimalizuje problem ataków słownikowych i brute force, które były bolączką standardu WPA2.
• Producenci sprzętu opierającego się na technologii WPA3 mogą opcjonalnie wyposażyć urządzenia w mechanizm OWE (ang. Opportunistic Wireless Encryption) oraz protokół Wi-Fi DPP (ang. Device Provisioning Protocol), służący do uwierzytelniania bez przesyłania hasła. DPP zastąpił tym samym dawny, wadliwy system WPS. Nie są to jednak technologie objęte certyfikacją WPA3, a jedynie współwystępujące.
• Ochrona ramek zarządzania (PMF). Jednym z ważniejszych ulepszeń WPA3 jest wymóg stosowania Protected Management Frames (PMF) – funkcji, która chroni urządzenia przed podszywaniem się pod router (spoofingiem) oraz atakami polegającymi na rozłączaniu użytkowników z sieci.
• W standardzie WPA2 ramki zarządzające, odpowiedzialne za komunikację między urządzeniem a punktem dostępowym (np. sygnał „połączono”, „rozłączono”), nie były szyfrowane ani weryfikowane, co umożliwiało atakującym np. sztuczne przerywanie połączeń lub wymuszanie ponownego logowania. WPA3 eliminuje ten problem, zwiększając odporność sieci na tego typu manipulacje.

Kluczowe cechy WPA3 – wiedza w pigułce

Standard WPA3 wprowadza szereg usprawnień, które znacząco podnoszą poziom bezpieczeństwa sieci bezprzewodowych – zarówno w domu, jak i w środowiskach biznesowych. Oto najważniejsze cechy, które odróżniają go od poprzednich rozwiązań:

• Indywidualne szyfrowanie połączeń. Każde urządzenie w sieci otrzymuje własny klucz szyfrujący, co zwiększa prywatność użytkownika – nawet w sieciach publicznych. To istotna różnica względem WPA2, gdzie wszystkie urządzenia korzystały ze wspólnego klucza.
• Lepsza ochrona przed słabymi hasłami. Dzięki zastosowaniu protokołu SAE (Simultaneous Authentication of Equals), WPA3 znacząco utrudnia skuteczność ataków słownikowych oraz typu brute force.
• Bezpieczeństwo w otwartych sieciach (OWE). WPA3 umożliwia szyfrowanie połączeń nawet w sieciach bez hasła (np. hotspoty, kawiarnie, lotniska) dzięki funkcji Opportunistic Wireless Encryption (OWE).
• Zwiększone bezpieczeństwo w środowisku firmowym (WPA3-Enterprise). Dla organizacji dostępne jest szyfrowanie oparte na 192-bitowych kluczach, zgodne z wymaganiami instytucji o wysokim poziomie bezpieczeństwa.
• Odporność na podszywanie i przechwytywanie danych (PMF). WPA3 wymusza obsługę Protected Management Frames, które chronią przed fałszywymi ramkami zarządzania oraz atakami typu „disassociation”.