Kritische Lücken von WPA2 geschlossen
Seit der KRACK-Lücke in WPA2 gilt die aktuelle WLAN Verschlüsselung im Prinzip als unsicher. Das soll der neue WPA3-Verschlüsselungsstandard nun korrigieren.
Lange Zeit wurde die WLAN-Verschlüsselung WPA2 von Experten als sicher eingeschätzt. Mit der im Herbst 2017 entdeckten KRACK-Lücke hat sich das geändert, denn im Zuge dessen deckten Forscher strukturelle Sicherheitsprobleme auf. Die gute Nachricht in der schlechten lautet, dass sich die Probleme mit Updates in den Griff bekommen lassen. Ein gut gepflegtes WLAN mit einem komplexen Passwort ist mit WPA2 auch jetzt noch sicher. Aber es bleibt ein schaler Beigeschmack, denn längst nicht alle Geräte mit WPA2 haben ein Update erhalten. Das weiß die für den Standard zuständige Wi-Fi Alliance (WFA) und hat gehandelt: Schon Mitte 2018 wurde die Spezifikation für WPA3 fertiggestellt. Dabei hat man sich an die unter Kryptoexperten anerkannten Suite-B-Empfehlungen der NSA orientiert.
Schnellschuss-Standardisierung
Die Lücken in WPA2 haben die Fertigstellung von WPA3 beschleunigt. Sie haben leider aber auch dafür gesorgt, dass von vielen sehr guten Ideen nur noch zwei als wirklich verpflichtende Elemente in der finalen Fassung übriggeblieben sind. Eine dieser Neuheiten ist zudem nicht so neu – zumindest nicht exklusiv für WPA3. Die Protected Management Frames (PMF) sind schon in WPA2 optional vorhanden, und einige Hersteller, etwa AVM oder Lancom, bauen dieses Sicherheitsmerkmal auch in WLAN-Router (schauen Sie sich hier unsere Bestenliste an) ein, die nur WPA2 beherrschen. PMF setzt an folgender Schwachstelle an: Die im WLAN übertragenen Management-Informationen zum Aufbau und Betrieb von Datenverbindungen werden unverschlüsselt gesendet. Konsequenz: Jeder Lauscher innerhalb einer WLAN-Zelle kann die Informationen empfangen und auswerten, selbst wenn er nicht angemeldet ist. Damit lässt sich eine verschlüsselte Datenverbindung zwar nicht abhören, aber durch gefälschte Management-Informationen stören. PMF richtet sich nach dem Standard IEEE 802.11w und codiert diese Management-Informationen, sodass eine derartige WLAN-Störung damit nicht mehr funktioniert.
Herzstück von WPA3 und der Hauptgrund, warum die neue Verschlüsselung wirklich mehr Sicherheit bringt, ist die verbesserte Authentifizierung mit dem etwas sperrigen Namen Simultaneous Authentication of Equals (SAE). Bisher authentifiziert sich ein Client, also ein Notebook oder Smartphone gegenüber der WLAN-Basis – aber nicht umgekehrt. Bei SAE authentifiziert sich auch die WLAN-Basis. Zudem wird das gemeinsam genutzte Geheimnis (das Passwort) nicht übertragen. Bei WPA2 war das noch so, was in der Praxis dazu führt, dass Angreifer beispielsweise über Man-in-the- Middle-Attacken die verschlüsselten Daten mitschneiden können. Dem aufgezeichneten Handshake zwischen Client und Hotspot kann man dann nachträglich per Brute-Force-Attacke auf den Pelz rücken. Bei einem unsicheren WLAN-Passwort könnte zum Beispiel eine Offline-Wörterbuchattacke schnell zum Erfolg führen.
Sicher gegen Brute-Force-Angriffe
Bei SAE laufen diese Offline-Attacken ins Leere, denn das Kennwort wird nicht zwischen Client und WLAN-Router übertragen, nicht mal in verschlüsselter Form. Client und WLAN-Basis nutzen das gleiche Passwort und schicken es in einem ersten Schritt durch diverse Hashfunktionen. WPA3 bringt hier mehr Sicherheit, da es bisher erlaubte unsichere Hashes wie SHA1 oder MD5 sperrt.
Für das gehashte WLAN-Passwort kommt nun die elliptische Kurven-Kryptografie zum Einsatz: Client und WLAN-Router stimmen sich über die Parameter einer elliptischen Kurve ab und erzeugen über das Passwort einen Punkt auf dieser Kurve. Jede Seite wählt dann noch eine Zufallszahl; der Client verwendet ein zufälliges u, der WLAN-Router eine Zahl v. Der Client berechnet uR, also ein Vielfaches von R auf der elliptischen Kurve, der wiederum berechnet und verschickt vR. Beide Seiten berechnen und vergleichen dann als Schlüssel das Gesamtprodukt uvR. Das Problem für Angreifer ist, dass sie zwar R und uR sowie vR abfangen, daraus aber u und v nicht berechnen können, denn dazu müssten sie den diskreten Logarithmus berechnen – ein bisher unlösbares mathematisches Problem.
Ein weiterer Vorteil der Authentifikation mit SAE: Selbst, wenn der Code geleakt wurde, können Angreifer aufgezeichnete Nachrichten nachträglich nicht entschlüsseln. Das Prinzip heißt Perfect Forward Secrecy (PFS).
Eine wichtige Funktion fehlt
Ein angepeiltes Ziel hat die Wi-Fi Alliance aus den Augen verloren. Unter dem Namen Opportunistic Wireless Encryption (OWE) hatte sie ein Sicherheitsfeature geplant, das unverschlüsselten WLANs den Garaus machen würde. Auch ohne vorherige Passworteingabe bauen Teilnehmer damit eine verschlüsselte Verbindung zum WLAN-Router auf. Es findet zwar keine Authentifizierung statt, aber die Daten funken wenigstens nicht im Klartext.
Grund für das Aus war wohl, dass OWE einen hohen Implementierungsaufwand verursacht hätte. Geblieben ist eine optionale Zertifizierung unter dem Namen Wi-Fi Enhanced Open. Parallel zu WPA3 hat die Alliance Wi-Fi Easy Connect veröffentlicht, womit man Peripheriegeräte wie Drucker per Abfotografieren eines QR-Codes verschlüsselt ins Heimnetz integriert.
Quelle; chip
Seit der KRACK-Lücke in WPA2 gilt die aktuelle WLAN Verschlüsselung im Prinzip als unsicher. Das soll der neue WPA3-Verschlüsselungsstandard nun korrigieren.
Lange Zeit wurde die WLAN-Verschlüsselung WPA2 von Experten als sicher eingeschätzt. Mit der im Herbst 2017 entdeckten KRACK-Lücke hat sich das geändert, denn im Zuge dessen deckten Forscher strukturelle Sicherheitsprobleme auf. Die gute Nachricht in der schlechten lautet, dass sich die Probleme mit Updates in den Griff bekommen lassen. Ein gut gepflegtes WLAN mit einem komplexen Passwort ist mit WPA2 auch jetzt noch sicher. Aber es bleibt ein schaler Beigeschmack, denn längst nicht alle Geräte mit WPA2 haben ein Update erhalten. Das weiß die für den Standard zuständige Wi-Fi Alliance (WFA) und hat gehandelt: Schon Mitte 2018 wurde die Spezifikation für WPA3 fertiggestellt. Dabei hat man sich an die unter Kryptoexperten anerkannten Suite-B-Empfehlungen der NSA orientiert.
Schnellschuss-Standardisierung
Die Lücken in WPA2 haben die Fertigstellung von WPA3 beschleunigt. Sie haben leider aber auch dafür gesorgt, dass von vielen sehr guten Ideen nur noch zwei als wirklich verpflichtende Elemente in der finalen Fassung übriggeblieben sind. Eine dieser Neuheiten ist zudem nicht so neu – zumindest nicht exklusiv für WPA3. Die Protected Management Frames (PMF) sind schon in WPA2 optional vorhanden, und einige Hersteller, etwa AVM oder Lancom, bauen dieses Sicherheitsmerkmal auch in WLAN-Router (schauen Sie sich hier unsere Bestenliste an) ein, die nur WPA2 beherrschen. PMF setzt an folgender Schwachstelle an: Die im WLAN übertragenen Management-Informationen zum Aufbau und Betrieb von Datenverbindungen werden unverschlüsselt gesendet. Konsequenz: Jeder Lauscher innerhalb einer WLAN-Zelle kann die Informationen empfangen und auswerten, selbst wenn er nicht angemeldet ist. Damit lässt sich eine verschlüsselte Datenverbindung zwar nicht abhören, aber durch gefälschte Management-Informationen stören. PMF richtet sich nach dem Standard IEEE 802.11w und codiert diese Management-Informationen, sodass eine derartige WLAN-Störung damit nicht mehr funktioniert.
Herzstück von WPA3 und der Hauptgrund, warum die neue Verschlüsselung wirklich mehr Sicherheit bringt, ist die verbesserte Authentifizierung mit dem etwas sperrigen Namen Simultaneous Authentication of Equals (SAE). Bisher authentifiziert sich ein Client, also ein Notebook oder Smartphone gegenüber der WLAN-Basis – aber nicht umgekehrt. Bei SAE authentifiziert sich auch die WLAN-Basis. Zudem wird das gemeinsam genutzte Geheimnis (das Passwort) nicht übertragen. Bei WPA2 war das noch so, was in der Praxis dazu führt, dass Angreifer beispielsweise über Man-in-the- Middle-Attacken die verschlüsselten Daten mitschneiden können. Dem aufgezeichneten Handshake zwischen Client und Hotspot kann man dann nachträglich per Brute-Force-Attacke auf den Pelz rücken. Bei einem unsicheren WLAN-Passwort könnte zum Beispiel eine Offline-Wörterbuchattacke schnell zum Erfolg führen.
Sicher gegen Brute-Force-Angriffe
Bei SAE laufen diese Offline-Attacken ins Leere, denn das Kennwort wird nicht zwischen Client und WLAN-Router übertragen, nicht mal in verschlüsselter Form. Client und WLAN-Basis nutzen das gleiche Passwort und schicken es in einem ersten Schritt durch diverse Hashfunktionen. WPA3 bringt hier mehr Sicherheit, da es bisher erlaubte unsichere Hashes wie SHA1 oder MD5 sperrt.
Für das gehashte WLAN-Passwort kommt nun die elliptische Kurven-Kryptografie zum Einsatz: Client und WLAN-Router stimmen sich über die Parameter einer elliptischen Kurve ab und erzeugen über das Passwort einen Punkt auf dieser Kurve. Jede Seite wählt dann noch eine Zufallszahl; der Client verwendet ein zufälliges u, der WLAN-Router eine Zahl v. Der Client berechnet uR, also ein Vielfaches von R auf der elliptischen Kurve, der wiederum berechnet und verschickt vR. Beide Seiten berechnen und vergleichen dann als Schlüssel das Gesamtprodukt uvR. Das Problem für Angreifer ist, dass sie zwar R und uR sowie vR abfangen, daraus aber u und v nicht berechnen können, denn dazu müssten sie den diskreten Logarithmus berechnen – ein bisher unlösbares mathematisches Problem.
Ein weiterer Vorteil der Authentifikation mit SAE: Selbst, wenn der Code geleakt wurde, können Angreifer aufgezeichnete Nachrichten nachträglich nicht entschlüsseln. Das Prinzip heißt Perfect Forward Secrecy (PFS).
Eine wichtige Funktion fehlt
Ein angepeiltes Ziel hat die Wi-Fi Alliance aus den Augen verloren. Unter dem Namen Opportunistic Wireless Encryption (OWE) hatte sie ein Sicherheitsfeature geplant, das unverschlüsselten WLANs den Garaus machen würde. Auch ohne vorherige Passworteingabe bauen Teilnehmer damit eine verschlüsselte Verbindung zum WLAN-Router auf. Es findet zwar keine Authentifizierung statt, aber die Daten funken wenigstens nicht im Klartext.
Grund für das Aus war wohl, dass OWE einen hohen Implementierungsaufwand verursacht hätte. Geblieben ist eine optionale Zertifizierung unter dem Namen Wi-Fi Enhanced Open. Parallel zu WPA3 hat die Alliance Wi-Fi Easy Connect veröffentlicht, womit man Peripheriegeräte wie Drucker per Abfotografieren eines QR-Codes verschlüsselt ins Heimnetz integriert.
Quelle; chip
