WPA3
Nu är WPA3 på gång. Foto: Colourbox

Efter 14 år i tjänst är det nu dags att avtacka WPA2. Bakom dörren står WPA3 med skärpt säkerhet på flera plan, och det ska bli enklare att ansluta IoT-prylar. Standarden har även utvecklats på en rad andra sätt.

Av Patrik Hermansson

Det är lätt att tro att internet, e-post och liknande är nya uppfinningar, men så är egentligen inte fallet. Ganska snart efter att de första datorerna började användas i mitten av det förra århundradet, kom behovet av att koppla ihop dem i nätverk. Redan i slutet av 1950-talet var det första datornätverket igång. Detta nätverk baserades på kablar, men redan 1971 fanns det även ett trådlöst nätverk.

WaveLAN
Precis som med mycket annan datorteknik har de trådlösa nätverkskorten blivit både mindre, snabbare och billigare. Här syns ett instickskort för WaveLAN, föregångaren till dagens Wi-Fi. Foto: MARQUIS111, Wikipedia, CC BY-SA 3.0

Det tidiga trådlösa systemet var inget som vanligt folk kunde köpa. Istället var det ett specialbyggt nätverk som möjliggjorde kommunikation mellan öarna i ögruppen Hawaii. Placeringen gav upphov till namnet ”ALOHANet”, och även till protokollet som användes som kort och gott kallades ”ALOHA”. Detta är ett exempel på ett tidigt trådlöst nätverk, men det var först mot slutet av 1980-talet som utvecklingen tog riktig fart. År 1988 släppte företagen NCR, AT&T och Lucent ett system kallat WaveLAN. Detta kom att utgöra grunden för bildandet av arbetsgruppen IEEE 802.11, vilket i sin tur ledde fram till de standarder vi i dagligt tal kallar Wi-Fi. Det systemet fungerade med vanliga datorer genom tilläggskort som för datorn såg ut som ett vanligt nätverkskort, men som skickade signalerna via radiovågor. Den maximala överföringshastigheten var två megabit per sekund och säkerheten bestod av att enheterna hade ett unikt ID-nummer (NWID) samt frivillig kryptering med 56-bitars DES.

Det var dock först i slutet av 1990-talet som Wi-Fi fick ett större genomslag. Delvis berodde detta på att många fler hade datorer, och de bärbara datorerna hade också blivit vanliga. Den trådlösa tekniken hade dessutom blivit bättre och mer överkomlig för konsumenterna.

Från A till AC

De standarder som var aktuella vid denna tid var 802.11A och -B. A-standarden fick aldrig något större genomslag på grund av höga priser och tekniska problem, men B blev å andra sidan relativt populär.

”2013 fick vi AC som kan toppa över 3 000 megabit per sekund”

Tekniken utvecklades sedan snabbt och det kom nya standarder i takt med att kraven på hastighet, räckvidd och säkerhet ökade.

År 2003 kom G med cirka fem gånger högre hastighet (54 megabit per sekund), 2009 kom N (600 megabit per sekund) och 2013 fick vi AC som kan toppa över 3 000 megabit per sekund.

En produkt med stöd för AC har även en siffra som indikerar dess maximala nätverkshastighet. AC3200 betyder till exempel att den maximala överföringshastigheten är 3 200 megabit per sekund. Som alltid ska siffror av denna typ tas med en nypa salt, i praktiken är kapaciteten uppdelad på flera kanaler. Den är också uppmätt i laboratoriemiljö under optimala omständigheter, men den ger ändå en indikering.

Samtidigt som tillverkarna har arbetat med att möjliggöra högre hastigheter, har även antenntekniken utvecklats för att förbättra täckningen. Den teknik som används idag är komplicerad med flera antenner och algoritmer som riktar signalerna för optimal signalstyrka. Det är långt ifrån den gamla tekniken där signalen bara sändes rakt ut utan eftertanke.

Även säkerheten förbättras

Även säkerhetsfunktionerna har utvecklats. WaveLAN använde alltså DES-kryptering. Den anses sedan länge som osäker och har därför ersatts i flera steg. Först kom WEP, Wired Equivalent Privacy, 1997. Den ersattes 2003 av WPA, som i och med standarden 802.11i år 2004 fick det namn vi känner idag: WPA2.

Denna krypteringsstandard ansågs under många år vara säker, men för ett år sedan upptäcktes en sårbarhet som kallades KRACK.

Sårbarheten kan under vissa omständigheter göra det möjligt att avlyssna trafiken i det trådlösa nätverket utan tillgång till dess lösenord. En angripare kan dessutom kapa anslutningar och modifiera data som skickas. Man ska dock inte vara alltför orolig. Den som angriper måste vara inom räckvidden för det aktuella trådlösa nätverket, och de flesta tillverkare har också skickat ut uppdateringar till sina mjukvaror för att täppa igen hålet. Samtidigt anses ändå WPA2 vara knäckt och förbrukat, och det är nu dags för WPA3.

Välkommen WPA3

WPA3 (Wi-Fi Protected Access III) presenterades av Wi-Fi Alliance i somras. De har också börjat certifiera produkter som använder denna standard. En produkt som är certifierad har kontrollerats så att den har de nödvändiga funktionerna för att uppfylla standarden. Därmed får den märkas med ”Wi-Fi CERTIFIED WPA2/3”, eller bara ”Wi-Fi CERTIFIED”.

”Enterprise utmärker sig i sin tur genom att använda 192-bitars kryptering för att ytterligare försvåra att trafiken avlyssnas”

En nyhet i WPA3 är att standarden är uppdelad i två delar, WPA3-Personal och WPA3-Enterprise. Personal är avsedd för konsumenter och erbjuder bättre säkerhet jämfört med WPA2 genom en teknik som kallas Simultaneous Authentication of Equals. Denna teknik gör det svårare att hacka nätverket genom att gissa lösenord.

Enterprise utmärker sig i sin tur genom att använda 192-bitars kryptering för att ytterligare försvåra att trafiken avlyssnas.

WPA3-Enterprise riktar sig mot myndigheter och företag

Genom att krypteringsverktygen är standardiserade säkerställs också att säkerheten upprätthålls i hela nätverket. WPA3-Enterprise-standarden riktar sig främst till myndigheter, företag och organisationer och är en sorts extra säkerhetslager som kan användas i särskilt utsatta nätverk och i nätverk där extra skydd behövs.

WPA3-Personal är alltså den del av standarden som kommer att användas i konsumentprodukter. Den största förbättringen här gäller anslutningen till nätverket. De har nämligen skapat en uppkopplingsmetod som är säkrare än den i WPA2 och som i princip omöjliggör attacker liknande KRACK.

När WPA3 används sker inloggning i nätverket med något som kallas SAE, Simultaneous Authentication of Equals. Lösningen bygger i sin tur på något som kallas för IETF Dragonfly.

Linksys
En bekant syn för många, en accesspunkt från Linksys som var, och fortfarande är, populär. Den som visas på bilden har stöd för 802.11A, B och G. Det finns även nyare modeller med modernare teknik som har samma formspråk. Foto: Macic7, Wikipedia, CC BY-SA 3.0.

Dragonfly är en metod för nyckelutbyte som är säkrare än många av de tidigare använda. När en klient loggar in med andra system utbyts data som baseras på lösenordet som en form av ”proof-of-knowledge”, så att båda sidor får veta att den andra känner till rätt lösenord. Detta gör att en angripare kan köra en brute force-attack, där en rad möjliga lösenord gås igenom. Så är inte fallet med SAE/WPA3, eftersom handskakningen görs på ett annat sätt. Den här autentiseringen görs nämligen innan nycklarna skapas, enligt en metod som omöjliggör attacker som liknar KRACK. Och med WPA3 sker allt i realtid, en klient kan bara testa ett lösenord en gång. Ska ett nytt lösenord testas måste klienten återigen kommunicera med nätverket och routern kan ställas in till att begränsa antalet möjliga försök och hur tätt de får ske.

På papperet ser det bra ut och även om fullständig säkerhet aldrig kan utlovas bör detta vara ett bättre system än det som används med WPA2.

Säkrare publika nätverk

En annan nyhet i WPA3 är det som kallas Enhanced Open, vilket ska ge bättre säkerhet i publika nätverk. Det är vanligt att kaféer, hotell och liknande erbjuder gratis Wi-Fi till sina besökare, en ofta uppskattad tjänst. Det finns dock risker med dagens publika nätverk. Förvisso måste man ofta logga in på en portal för att få tillgång till nätverket, men det innebär ingen trygghet. Den trafik som skickas i nätverket är helt oskyddad. Därmed är den också relativt enkel att avlyssna och man bör tänka sig för när man använder nätverk av denna typ.

Under senare år har situationen blivit bättre, i och med att allt fler webbplatser använder HTTPS som krypterar de data som skickas. Det går dock fortfarande att se vilka sidor som besöks och många webbplatser använder fortfarande oskyddad trafik. Lägg så till att HTTPS bara är en lösning för webben, den skyddar inte annan kommunikation.

För att undvika denna typ av säkerhetsrisker använder WPA3 en form av kryptering även för ”öppna nätverk”. Lösningen kallas Enhanced Open och innebär att datatrafiken krypteras trots att man inte behöver logga in som med ett vanligt krypterat nätverk. Tekniken baseras på något som kallas Opportunistic Wireless Encryption och fungerar osynligt för användaren på ett sätt som gör att de publika nätverken blir lika enkla att använda som tidigare trots att de nu är krypterade.

Enklare med IoT-prylar

Den nuvarande standarden WPA2 lanserades år 2004. Då var IoT, Internet of Things, ett i det närmaste okänt begrepp. Detta med att allt och alla skulle vara uppkopplade var på sin höjd en framtidsvision. Numera är det ingen vision, utan vår vardag.

I det moderna samhället är det inte bara mobiltelefoner och datorer som är uppkopplade, många har även både TV-apparater, frysskåp och brandvarnare som är anslutna till internet. Även dessa uppkopplingar behöver naturligtvis skyddas, något som är lite knepigt med dagens teknik.

”Det dröjer säkerligen inte länge förrän du ser den nya loggan på en produkt nära dig”

När det gäller en dator eller TV är det inga större problem, de har inmatningsenheter och en skärm som kan användas för att skriva in och kontrollera ett lösenord. Däremot blir det knepigare med till exempel ett kylskåp, även om det går att lösa med WPS (Wi-Fi Protect Setup). Detta system fungerar i praktiken bra, nackdelen är att det behövs en fysisk knapp på både routern och på den produkt som ska kopplas upp.

Någon sådan knapp behövs inte med den nya metod för autentisering som är en del av WPA3. Där finns nämligen vad som kallas Wi-Fi Easy Connect. Istället för en fysisk knapp används en QR-kod eller en sifferkod som skickas med den pryl som ska kopplas upp. Denna kod läses in via en enhet med skärm och inmatningsenhet. Det är inte bara mobiltelefoner och datorplattor som kan användas för detta, det kan vara i princip vad som helst som kan hantera det speciella protokoll som används (Device Provisioning Protocol, DPP).

Den enhet som används blir nätverkets centrala konfigurationsenhet (configurator), de övriga enheterna blir deltagare (enrollees). När koden läses in eller skrivs in upprättas en krypterad anslutning till den enhet som ska kopplas upp. Genom denna anslutning överförs sedan de uppgifter som enheten behöver för att ansluta till det trådlösa nätverket.

Skönt att slippa knappen

Fördelen med detta system är dels att man slipper knappen, dels att det blir enkelt och intuitivt att använda lösningen. Inga krångliga lösenord behöver skrivas in i de enheter som ansluts, allt sköts istället genom att ta en bild eller skriva in en enkel kod i en kontrollenhet. Genom att metoden ingår i standarden blir dessutom anslutningsmetoden konsekvent och inte beroende av tillverkare. Ytterligare en fördel är att anslutningarna inte är beroende av nätverkets accesspunkt. Denna kan därför bytas ut utan att de externa enheterna behöver konfigureras på nytt.

Wi-Fi Certified Easy Connect är en frivillig del av standarden. Därmed är denna del inte ett krav för att en produkt ska kunna certifieras för WPA3.

WPA3 – Snart nära dig

När kan vi då få nytta av alla dessa nya finesser? På ett sätt kan man säga att du som vanlig användare inte kommer att se dem alls. Inloggningen på trådlösa nätverk kommer att ske på samma sätt som tidigare, men säkerheten kommer att vara högre. Den som använder uppkopplade produkter kommer dock att märka av WPA3 och prylar med sådant stöd kommer snart att lanseras.

Tillverkaren Qualcomm är en av dem som redan är igång med produktion av kretsar som stöder den nya standarden. Förvisso kräver WPA3 i princip inte ny hårdvara, men det är säkerligen inte många tillverkare som kommer att uppdatera sina produkter med stöd för WPA3 även om det är tekniskt möjligt. Dock, att samma hårdvara kan användas innebär också att den nya standarden är bakåtkompatibel. Enheter som stöder WPA3 kan ansluta till sådana som använder WPA2. Det kommer därför att ske en gradvis avveckling av den gamla standarden.

När detta skrivs är införandet av WPA3 i full gång. Det dröjer säkerligen inte länge förrän du ser den nya loggan på en produkt nära dig.

Mer spännande trådlös teknik

WPA3 är alltså en krypteringsstandard som inte är beroende av ny hårdvara. Den kan implementeras i befintliga produkter, men den största lanseringen kommer troligen att ske i nya produkter. Det spekuleras om att det stora genomslaget kommer i och med att den nya trådlösa standarden 802.11ax lanseras nästa år.

Standarden 802.11ax kommer att använda samma frekvensband som den nuvarande AC-standarden, 2,4 och 5,0 gigahertz. Det finns dock möjlighet att även använda andra frekvenser i frekvensbandet 1 till 7 gigahertz om eller när sådana blir tillgängliga. I standarden finns stöd för tekniker som MIMO och MU-MIMO, men det finns även en ny funktion kallad OFDMA, en algoritm som gör det möjligt att utnyttja det befintliga frekvensbandet bättre. I 802.11ax finns även en modulationsteknik kallad 1024-QAM som ökar datahastigheten. Den nominella hastighetsökningen gentemot 802.11ac uppges vara 37 procent, i praktiken väntas dock hastighetsökningar på upp till fyra gånger genom att frekvensbanden kan utnyttjas mer optimalt. Detta har också visats på CES-mässan med demoprodukter som uppnådde en hastighet på inte mindre än elva gigabit per sekund.

Skriv ett svar

Skriv din kommentar
Ange ditt namn här