WPA3来了 带你第一时间了解新Wi-Fi加密方式

6月25日，Wi-Fi联盟正式推出Wi-Fi连接用户身份验证技术的最新版本，即WPA3加密方式。与当今普遍使用的WPA2相比，WPA3在安全性能方面有明显的提升。根据Wi-Fi联盟的工作计划，将在2019年底开始推动加密方式的升级工作。

[[235082]]

一、攻与防的对弈：Wi-Fi加密方式的变革

1999年9月，IEEE 802.11标准获得通过，在其中定义了一种使用RC4加密算法和CRC-32校验机制的无线传输数据加密方式，称为有线等效保密(Wired Equivalent Privacy)协议，即WEP。

2001年8月，Fluhrer团队利用RC4加解密和IV使用方式的特性，发现只需要在网络中进行几个小时的监听，就能破解RC4的密钥，从而破解WEP加密方式。在这一研究成果发表后，针对WEP协议的自动化破解工具也应运而生，正式宣告WEP协议不再安全。

面对这一现状，IEEE于2004年6月通过了802.11i标准，其中提出了Wi-Fi网络安全接入(Wi-Fi Protected Access)协议，即WPA。WPA协议在WEP基础上加强了生成加密密钥的算法，同时还加入了防止数据中途被篡改的特性和认证功能。

随着安全研究人员针对WPA协议的不断研究，陆续又发现了该协议的一些弱点，并对该加密方式进行了升级。升级后的协议称为WPA2，主要以AES加密方式替换了原有的RC4，并以当时公认最为安全的CCMP讯息认证码取代此前的MIC。

2006年3月，WPA2成为无线网络的强制标准。目前，我们所使用的绝大多数Wi-Fi连接，都是基于WPA2加密方式。

2009年，日本两位安全专家宣布能在1分钟内利用无线路由器攻破WPA加密系统，该攻击证明了WPA的脆弱性。

2017年10月，比利时安全研究团队发现可以通过对WPA和WPA2协议操纵重放加密握手消息(通俗来说，就是在手机和Wi-Fi的通信过程中，偷偷记录特定数据，然后重新发送出去)，可以让已经使用过的密钥被再次使用。该攻击方法称为KRACK，尽管借助此方法并不能破译出Wi-Fi密码，但可以非法获取到Wi-Fi通信的内容，并能够对通信内容进行篡改。

最后，总结上述内容，可以归纳出如下三条结论：

• 三种加密方式按照安全性排序分别是WEP < WPA < WPA2;
• 目前WPA2被广泛使用;
• WPA2同样存在通信内容泄露、通信内容篡改等安全风险。

二、更安全的协议：WPA3亮点大揭秘

亮点1：防范字典暴破攻击

WPA3加密方式使用等值同时认证(Simultaneous Authentication of Equals，简称SAE)算法，取代了WPA2中的PSK算法。在对Wi-Fi的攻击场景中，通常攻击者会借助自动化工具，快速连续尝试各种密码，从而猜测Wi-Fi网络的密码。而SAE算法可以有效防范这种暴力破解方式，在多次尝试验证失败后阻断认证请求。

亮点2：防范流量监听带来的信息泄露风险

在此前版本的加密方式中，攻击者实际上可以通过中间人攻击的方式，获取通信内容，并实现内容的篡改。而在新版本的加密方式中，加入了被称为“前向保密”(Forward Secrecy)的机制。该机制保证会话密钥的独立，确保攻击者即使已经获得Wi-Fi密码，也无法解密网络中其他用户的通信流量。这意味着，即使服务器的私钥被泄露，也不会对会话的保密性造成威胁。

亮点3：IoT设备的Wi-Fi配置

我们知道，一些物联网设备的体积较小，甚至它们往往不需要键盘、显示屏的存在。但针对这些设备，如何配置Wi-Fi网络就成为了一个棘手的问题。在WPA3中，新加入了一项独立的功能，被称为“Wi-Fi轻松连接”(Wi-Fi Easy Connect)。借助这一功能，用户在手机或平板电脑上，就能轻松为小型物联网设备配置网络。

根据Wi-Fi联盟发布的信息，此项功能在WPA3中首次加入，后续将支持使用WPA2的设备，以此尽可能覆盖更多的设备。

亮点4：保障公共场所中无密码Wi-Fi网络的安全

随着无线网络的日益普及，越来越多的商场、餐厅、机场、火车站都部署了Wi-Fi网络，提供给所有顾客或旅客使用。这些无线网络如果设置密码，就要有一个途径将密码通知到用户;如果不设置密码，网络的安全性就存在较大风险。为应对这一问题，Wi-Fi联盟提出了“Wi-Fi增强开放”(Wi-Fi Enhanced Open)技术，该技术使用“机会无线加密”(Opportunistic Wireless Encryption)的算法，将每个用户与路由器之间的连接进行加密，并各自产生一个密钥。通过这一技术，公共场所中无线网络的安全性将大幅提高，接入网络后的攻击者将无法窃听到其他用户的通信流量。

三、依靠时间：版本更新与脆弱性测试

正如前面所说，现在绝大多数的网络设备都默认采用WPA2协议，因此要推动协议的更新还需要经历一段漫长的时间，并且可能需要强制标准的助力，同时需要所有网络设备厂商的支持。

回顾无线网络协议的发展史，我们发现，正是由于安全团队不断进行的脆弱性研究和测试，才发现了之前协议的一个又一个安全问题，并直接推动了协议和版本的迭代更新。因此，WPA3的安全性需要经过一段时间的验证才能得到可靠的结论。目前，曾发现WPA2协议KRACK攻击方式的比利时团队已经开始对WPA3加密方式的研究。究竟这一新加密方式的安全性如何、能维持多久，我们还要拭目以待。

【本文是专栏作者“绿盟科技博客”的原创稿件，转载请通过联系原作者获取授权】

戳这里，看该作者更多好文