Herinner je je wlan-lek Krack nog, dat in 2017 de krantenkoppen haalde? Een zwakte in de wpa2-beveiligingsstandaard maakte miljoenen wlan-netwerken kwetsbaar. Dit nieuws werd zelfs besproken in tv-programma’s die anders geen aandacht besteden aan ict. Ook al was het maar een theoretische dreiging, het leidde tot onzekerheid. Maar het had ook een goede kant: de Wi-Fi Alliance gaf plankgas met de ´next-generation wlan security´, de wpa3-standaard.
Iets meer dan een half jaar later was het zover. In juni 2018 zag wpa3 het levenslicht en kon voor het eerst worden toegepast. Dat was toen nog niet verplicht! Nu legt de Wi-Fi Alliance de lat een stukje hoger. Vanaf juli 2020 dienen alle wlan-producten die het stempel ‘Wi-Fi Certified’ willen voeren wpa3 te ondersteunen – ongeacht of ze a/b/g/n of ac-wlan gebruiken. Een belangrijke volgende stap in de evolutie naar nog veiliger draadloze netwerken.
De aankondiging van de Wi-Fi Alliance is een goed en belangrijk signaal. De nieuwe standaard is een consequente volgende stap om draadloze netwerken veiliger te maken. Vergeleken met de zeer wijdverbreide voorganger wpa2, sinds 2004 een verplichting, is de nieuwe veiligheidsnorm een logische stap vooruit. Met wpa3 speelt de Wi-Fi Alliance in op de voortdurend groeiende veiligheidseisen die gebruikers stellen aan moderne draadloze netwerken. wpa2 was al best veilig, maar met wpa3 doet de Wi-Fi Alliance er nog een schepje bovenop.
Spelbreker
Dat klinkt allemaal geweldig, maar wpa3 kreeg al een eerste domper. Een paar weken geleden ontdekte beveiligingsonderzoeker Mathy Vanhoef de zogenaamde Dragonblood-kwetsbaarheden in wpa3. Dit maakte duidelijk dat ook wpa3 niet onfeilbaar is.
Desalniettemin zal de nieuwe standaard het algemene veiligheidsniveau van draadloze netwerken aanzienlijk verhogen. Enerzijds zijn er workarounds en aanbevelingen van de Wi-Fi Alliance voor de recent ontdekte kwetsbaarheden, die kunnen worden gebruikt om de gaten te dichten of te omzeilen Aan de andere kant komt wpa3 met een groot aantal spannende nieuwe beveiligingsconcepten en gerelateerde functies.
Kijkje achter de schermen
Met wpa3-Personal krijgen gebruikers een duidelijk robuuster handshake-proces. Via de handshake wordt bij wpa2/3 onderhandeld over de sleutel voor de transmissie. Dit proces maakt deel uit van de verbindingsopbouw tussen twee gebruikers. Vergeleken met zijn voorganger biedt wpa3-Personal een hoog beveiligingsniveau, zelfs bij gebruik van zwakke of korte wachtwoorden. Brute force-aanvallen werken niet langer dankzij versleuteling met ‘elliptische bochten’. Ondanks de Dragonblood-kwetsbaarheden mag je er daarom van uitgaan dat de nieuwe procedure een aanzienlijke verbetering is ten opzichte van de huidige.
Wpa3 biedt ook een nieuwe functie voor omgevingen met een bijzonder hoog beveiligingsniveau: wpa3-Enterprise kan men optioneel met 192-Bit chiffre gebruiken. Dit zou met name interessant moeten zijn voor exploitanten van draadloze netwerken in overheids- en veiligheidsinstanties, banken, militaire faciliteiten of bedrijven met extreem hoge veiligheidseisen.
Geen functie van wpa3, maar toch spannend: samen met de nieuwe beveiligingsstandaard is de Opportunistic Wireless Encryption (OWE)-functie geïntroduceerd door de Wi-Fi Alliance. OWE is ontworpen om de veiligheid in wlan-hotspots en andere openbare draadloze netwerken aanzienlijk te verhogen. De functie maakt individuele versleuteling van gebruikersgegevens mogelijk zonder de noodzaak van cliënt-authenticatie. De tijd van onversleutelde communicatie via open wlan’s is waarschijnlijk voorbij.
Kruipend proces
Wpa3 verhoogt de veiligheid voor particuliere en zakelijke wlan-gebruikers. Tot nu toe was het voor fabrikanten mogelijk om op vrijwillige basis een wpa3-certificering uit te voeren. Sinds april 2018 zijn ongeveer 320 apparaten op deze manier gecertificeerd. Vanaf juni 2020 zullen fabrikanten die zich vandaag de dag nog beperken tot wpa2 moeten voldoen aan de nieuwe richtlijn. Anders kunnen zij het stempel “Wi-Fi Certified”, dat zo belangrijk is voor de marketing, op hun buik schrijven.
Het is echter moeilijk te voorspellen wanneer wpa3 in huishoudens en bedrijven wijdverbreid is. Bedenk alleen maar dat je zelfs de voorganger van de voorganger van wpa3 nog steeds kunt tegenkomen. Oude wlan-routers en access points die wpa3 niet ondersteunen, zullen echter geleidelijk vervangen worden door nieuwe die wpa3 bijna allemaal ondersteunen. De nieuwe wlan-veiligheidsstandaard gaat het dus zeker redden. In tijden van korte productlevenscycli en snelle innovatiecycli kan de wpa3 zich mogelijk sneller verspreiden dan je op dit moment verwacht.
