Allvarlig säkerhetsbrist i WPA3-kryptering för trådlösa nätverk uppdagas

Allvarlig säkerhetsbrist i WPA3-kryptering för trådlösa nätverk uppdagas

Krypteringsstandarden WP3 för trådlösa nätverk uppdaterades som ett svar på säkerhetsbrister i version två av standarden. Nu uppdagas allvarliga brister även i version tre.

För två år sedan upptäckte forskare en säkerhetsbrist i krypteringsstandarden WPA2, kryptering som används för att skydda trådlösa nätverksanslutningar. Sårbarheten drabbade alla enheter med trådlösa nätverk som nyttjade WPA-standarden, och uppföljaren WPA3 utformades därför för att undanröja bristen.

Wi-Fi Alliance utvecklade och lanserade WPA3 under relativt kort tid som ett svar på WPA2-bristerna, och nu uppdagas brister i WPA3 kan vara resultatet av att den nya standarden stressades fram utan tillräcklig tid till kvalitetssäkring. Namnet på de upptäckta bristerna i WPA3 får namnet Dragonblood.

Dragonblood består av två huvudsakliga sårbarheter. Den ena är så kallad downgrade-attack där anslutningen tvingas återgå till WPA2-kryptering av kompatibilitetsskäl. När anslutningen tvingats över till WPA2-kryptering kan den gamla handskakningsbristen utnyttjas för att knäcka krypteringen.

Det finns även en andra typ av downgrade-attack som påverkar handskakningsprotokollen i WPA3. Dessa protokoll kallas Dragonfly, och det är härifrån sårbarhetens namn Dragonblood kommer ifrån.

WPA3-standarden är bestyckad med två krypteringstekniker kallade P-521 och P-256. Om båda dessa har implementerats i enheten kan krypteringen tvingas att nedgraderas till den svagare P-256-tekniken som är lättare att knäcka.

WPA3_Dragonblood.jpg

I dokumentationen för sårbarheterna illustreras hur krypteringens handskakning går till.

Den andra sårbarheten är en så kallad side-channel-attack, där krypteringen tvingas läcka information om lösenordet som används. Här attackeras krypteringens kodning av lösenordet. Genom att utnyttja timing i så kallade hash-algoritmer kan angripare försöka knäcka lösenordet genom att testa det mot kombinationer av bokstäver.

Enligt gruppen som upptäckt sårbarheterna kan side-channel-attacken utnyttjas för att testa alla möjliga kombinationer av ett åtta tecken långt lösenord med relativt små medel. Ett sådant lösenord ska kunna knäckas med endast 40 handskakningar som bearbetas av relativt små resurser och kostnader, vilket innebär att tröskeln för att utföra sådana attacker blir relativt låg.

Gruppen bakom upptäckten har samarbetat med Wi-Fi Alliance för att åtgärda bristerna innan de gjordes officiella. I ett pressmeddelande påpekar Wi-Fi Alliance att de negativa effekterna inte ska bli så allvarliga då relativt få produkter har anammat WPA3. Standarden och certifiering av Wifi-bestyckade produkter ska också uppdateras med åtgärder för bristerna.

Läs mer om WPA-sårbarheter:

Kommentarer till artikeln

28 debattinlägg

Skicka en rättelse
555

FiskClockers – Allt om fiske!

På SweClockers samlas nördar för att diskutera datorer, men vem vänsterprasslar inte med andra särintressen och tidsfördriv? Som fiske, till exempel. Läs mer

1

Nvidia Geforce GTX 1650 Ti från Asus listas på webben

Nvidia Geforce GTX 1650 Ti tros lanseras efter GTX 1650, och kan bli det avslutande kortet i grafikkortsserien. Nu hittar modellen ut på nätet i en listning ifrån Asus. Läs mer

16

Samsung senarelägger lanseringsevent för Galaxy Fold i Kina

Samsung har haft problem med skärmarna på Galaxy Fold, och nu skjuter bolaget upp de planerade lanseringseventen i Kina. Orsaken är dock oklar, likaså om det påverkar lanseringen globalt. Läs mer

2

Tre snackisar från CES 2019 – AMD Radeon, AMD Ryzen och Geforce med Freesync

CES må ligga i backspegeln, men är trots det alltid aktuell. Vi blickar tillbaka mot årets mässa och plockar ut tre godbitar som fick kommentarsfälten att explodera. Läs mer

24

Högpresterande variant av Nintendo Switch kan vara längre bort än väntat

Uppgifter gör gällande att Nintendo släpper en nedskalad variant av Switch i höst, som fortfarande går att koppla till en TV. Den högpresterande modellen lanseras dock senare. Läs mer

30

Häng med när Gurra lär sig grunderna om datorlådor

När Gustav ska bygga dator för första gången väntar många dumma frågor – eller är de verkligen det? Häng med när Jonas går igenom chassit från en nybörjares perspektiv. Läs mer

34

Skaltillverkare avslöjar trefaldig kamerauppsättning för 2019 års Iphone

Många telefoner idag kommer med fler än två kameror, vilket kan ge fördelar som bättre optisk zoom eller större ljusinsläpp. Nu verkar Apple hoppa på tåget för årets Iphone-modeller. Läs mer

24

Nvidia DLSS – vad är det egentligen?

Kantutjämning, bättre bildkvalitet och ökad prestanda i samma paket låter onekligen för bra för att vara sant. Vi gräver ned oss i och förklarar Nvidias uppskalningsteknik DLSS. Läs mer

20 ÅR
14

Påskspecial – vi spelar Serious Sam HD: The Second Encounter

Äggen är slut, godiskoman på plats och ledig dag i morgon. Med andra ord, ett perfekt tillfälle att damma av en gammal spelklassiker. Läs mer

37

Nintendo Game Boy fyller 30 år

Med olivgrön skärm och ett grått chassi tog Nintendos bärbara spelkonsol Game Boy världen med storm, och idag är det 30 år sedan lanseringen. Ägde du en Game Boy-konsol? Läs mer

14

Forumet: Actionspelet Transistor gratis på Epic Games Store

Epic Games fortsätter med att ge bort speltitlar gratis, och fram till den 2 maj gäller detta indiespelet Transistor. Unikt gameplay och grafisk stil utlovas! Läs mer

5

Nvidia Geforce GTX 1650 från MSI, Asus och Gigabyte på bild

Lanseringen av Geforce GTX 1650 närmar sig och nu dyker tio modeller upp på webben. Det handlar om bilder för samtliga och detaljer om klockfrekvenser för somliga. Läs mer