Allvarlig säkerhetsbrist i WPA3-kryptering för trådlösa nätverk uppdagas

Allvarlig säkerhetsbrist i WPA3-kryptering för trådlösa nätverk uppdagas

Krypteringsstandarden WP3 för trådlösa nätverk uppdaterades som ett svar på säkerhetsbrister i version två av standarden. Nu uppdagas allvarliga brister även i version tre.

För två år sedan upptäckte forskare en säkerhetsbrist i krypteringsstandarden WPA2, kryptering som används för att skydda trådlösa nätverksanslutningar. Sårbarheten drabbade alla enheter med trådlösa nätverk som nyttjade WPA-standarden, och uppföljaren WPA3 utformades därför för att undanröja bristen.

Wi-Fi Alliance utvecklade och lanserade WPA3 under relativt kort tid som ett svar på WPA2-bristerna, och nu uppdagas brister i WPA3 kan vara resultatet av att den nya standarden stressades fram utan tillräcklig tid till kvalitetssäkring. Namnet på de upptäckta bristerna i WPA3 får namnet Dragonblood.

Dragonblood består av två huvudsakliga sårbarheter. Den ena är så kallad downgrade-attack där anslutningen tvingas återgå till WPA2-kryptering av kompatibilitetsskäl. När anslutningen tvingats över till WPA2-kryptering kan den gamla handskakningsbristen utnyttjas för att knäcka krypteringen.

Det finns även en andra typ av downgrade-attack som påverkar handskakningsprotokollen i WPA3. Dessa protokoll kallas Dragonfly, och det är härifrån sårbarhetens namn Dragonblood kommer ifrån.

WPA3-standarden är bestyckad med två krypteringstekniker kallade P-521 och P-256. Om båda dessa har implementerats i enheten kan krypteringen tvingas att nedgraderas till den svagare P-256-tekniken som är lättare att knäcka.

WPA3_Dragonblood.jpg

I dokumentationen för sårbarheterna illustreras hur krypteringens handskakning går till.

Den andra sårbarheten är en så kallad side-channel-attack, där krypteringen tvingas läcka information om lösenordet som används. Här attackeras krypteringens kodning av lösenordet. Genom att utnyttja timing i så kallade hash-algoritmer kan angripare försöka knäcka lösenordet genom att testa det mot kombinationer av bokstäver.

Enligt gruppen som upptäckt sårbarheterna kan side-channel-attacken utnyttjas för att testa alla möjliga kombinationer av ett åtta tecken långt lösenord med relativt små medel. Ett sådant lösenord ska kunna knäckas med endast 40 handskakningar som bearbetas av relativt små resurser och kostnader, vilket innebär att tröskeln för att utföra sådana attacker blir relativt låg.

Gruppen bakom upptäckten har samarbetat med Wi-Fi Alliance för att åtgärda bristerna innan de gjordes officiella. I ett pressmeddelande påpekar Wi-Fi Alliance att de negativa effekterna inte ska bli så allvarliga då relativt få produkter har anammat WPA3. Standarden och certifiering av Wifi-bestyckade produkter ska också uppdateras med åtgärder för bristerna.

Läs mer om WPA-sårbarheter:

Skicka en rättelse
3

Throwback Thursday: Tio år sedan AMD avtäckte "Bulldozer"

I augusti 2010 visade AMD upp sin kommande FX-serie av CPU:er – vi tar en titt tillbaka till hur förväntningarna såg ut. Läs mer

3

TSMC och Foxconn visar intresse i ARM

De båda taiwanesiska företagen sägs ha delgivits finansiell information för att utvärdera möjligheter till investering. Läs mer

2

Samsung tappar Qualcomm-ordrar på 5 nanometer till TSMC

Samsung ser ut att förlora en del av sina Qualcomm-ordrar för kretsar på 5 nanometer till konkurrenten TSMC. Läs mer

38

AMD Ryzen 4000 "Vermeer" når turbofrekvenser om 4,8 GHz

Zen 3-kisel i höstens kommande processorer når höga frekvenser och får möjligheter till spänningsjusteringar per kärna. Läs mer

12

Intel bekräftar "Tiger Lake"-lansering den 2 september

Investerarkalender bekräftar lanseringsevent för andra generationens 10 nanometersprocessorer, men även Xe-nyheter. Läs mer

48

Samsung lanserar flaggskeppstelefonen Galaxy Note 20 Ultra

Den 21 augusti lanserar Samsung Galaxy Note 20 Ultra – vi har varit på förhandsvisning. Läs mer

121

Amazon fortsätter med Postnord under sverigeexpansion

Det svensk-danska logistikföretaget anser sig vara kapabla att leverera Amazon-paket i större skala än tidigare. Läs mer

115

Veckans fråga: När köpte du din första dator?

Är du ny i gamet, eller automatiserade du dina kulramar runt Dackefejden? Veckans fråga blickar bakåt mot det första datorinköpet. Läs mer

21

AMD och Lenovo tar Zen-arkitekturen till 6 watt

Den bärbara datorn Lenovo 100e med studentfokus bjuder på tvåkärnigt Zen-kisel med värmeutveckling om ynka 6 watt. Läs mer

11

ARM-medgrundare motsätter sig Nvidia-förvärv

Hermann Hauser beskriver i en BBC-intervju ett eventuellt Nvidia-uppköp av ARM som "katastrofalt". Läs mer

22

Project Xcloud till Sverige den 15 september

Microsofts spelströmningstjänst lanseras officiellt på den svenska marknaden i mitten på september ihop med över 100 spelbara titlar. Läs mer

47

Nvidia "Ampere" ryktas lanseras den 17 september

Efterträdarna till toppmodellerna RTX 2080 Ti och 2080 blir först ut, med successiv infasning av enklare modeller. Läs mer