De certificering WPA3 heeft inmiddels versie 2 opgevolgd en wordt ongetwijfeld op termijn breed ingevoerd. Het roept belangrijke vragen op. Waarom is WPA cruciaal voor de wifi-toegang en bescherming van data? En is het nodig om halsoverkop WPA3 in te voeren of voldoet WPA2-Enterprise voorlopig nog wel even? Technisch coördinator van govroam Erik Dobbelsteijn geeft inzicht, overzicht en advies.
Wat is WPA3?
WPA staat voor Wi-fi Protected Access. Het is een certificering van de Wi-fi Alliance die aangeeft dat wifi-apparatuur voldoet aan standaarden voor het verbeteren van de beveiliging. Het betreft dus geen standaard, maar een certificering van apparaten die aan een set standaarden voldoen. WPA versie 3 is inmiddels vastgelegd en volgt daarmee versie 2 op die nu wereldwijd het meest gebruikt wordt. Overigens staat deze certificering los van de wifi-versie (aangeduid met termen als ‘802.11ac’ of ‘wifi6’) die zich vooral richt op de ‘snelheid’ van wifi.
Hoe werkt WPA3?
Net als WPA2 bevat WPA3 meerdere beveiligingsmechanismen, die ingezet kunnen worden voor veilige toegang tot een wifi-netwerk en versleuteling van het dataverkeer. De belangrijkste twee mechanismen van WPA2 zijn WPA2-Personal en WPA2-Enterprise.
De ‘Personal’-variant gebruiken de meeste huishoudens op hun huis-tuin-en-keuken wifi-router: het hele gezin (en ook gasten) gebruiken hetzelfde wachtwoord (‘sleutel’ of ‘pre shared key’) voor toegang en encryptie van het verkeer. Daarentegen voorziet de ‘Enterprise’-versie iedere verbinding van unieke versleuteling, en is inloggen met specifieke gebruikersnaam en wachtwoord mogelijk. Als alternatief voor de gebruikersnaam met wachtwoord, ondersteunt WPA2-Enterprise bijvoorbeeld ook een persoonlijk PKI-certificaat, een SIM-kaart en nog een aantal minder gebruikelijke manieren van authenticatie. Daarom is WPA2-Enterprise (zoals de naam eigenlijk al zegt) geliefd bij organisaties met meerdere access points, en is het een verplichte technologie voor overheidsorganisaties. Mede daarom is govroam gebaseerd op deze WPA2-Enterprise standaard, conform de ‘pas toe of leg uit’ standaard van Forum Standaardisatie.
Door de inzet van WPA2 zijn wifi-netwerken veel veiliger geworden. Maar zoals met alle technologische ontwikkelingen komt er altijd een moment waarop de bakens verzet moeten worden. Een kwetsbaarheid in WPA2-Personal (‘Krack’) heeft dat proces versneld. WPA3 lost dit op door o.a. de ‘Pre Shared Key’ te vervangen door unieke sleutels per eindgebruiker. Daarmee wordt WPA3-Personal’ al wat veiliger. Andere belangrijke verbeteringen zijn het verhogen van de mogelijke sleutellengtes van 128 bits naar 192 bits en gebruik van modernere encryptiemethodes.
Voor gastgebruik (van met name thuisnetwerken) is het nieuwe ‘Easyconnect’-mechanisme bedacht: eenvoudiger aanmelden van apparaten. Ook dit mechanisme is vooral gericht op particulier gebruik. Het is overigens een optie binnen de WPA3-certificering, dus (nog) niet elk wifi-apparaat zal het ondersteunen.
Bedenk wel dat er ‘slechts’ een sleutel nodig is om op het netwerk te komen en geen gebruikersnaam wordt vereist, dus de beheerder van het netwerk heeft geen mogelijkheid om iemand aan te spreken op mogelijk wangedrag. Ook kan de gebruiker niet eenduidig vaststellen of hij met een te vertrouwen netwerk communiceert. Deze nieuwe methode is dus wel flexibeler als het gaat om het uitdelen van wifi-toegang aan gebruikers, maar haalt op belangrijke punten nog niet het beveiligingsniveau van WPA2-Enterprise. Uiteraard bevat WPA3 ook een Enterprise variant. Deze bevat kleine aanpassingen op de WPA2-Enterprise standaard, die echter wel gevolgen kunnen hebben voor de inrichting van uw netwerk.
Compatibiliteit
Voor thuisrouters is het aan te bevelen om WPA3 te overwegen zodra alle apparaten thuis WPA3 aankunnen. Dat zal in sommige huishoudens eerder het geval zijn dan in andere. In een organisatie waar veel mobiele apparaten in gebruik zijn, is het aandeel apparaten dat WPA3 ondersteunt waarschijnlijk nog klein. Ook moeten we rekening houden met gasten die oudere apparaten binnenbrengen, het activeren van WPA3 kan dan tot gevolg hebben dat sommige gebruikers geen toegang (meer) hebben.
To WPA3 or not to WPA3?
De nieuwe standaard biedt interessante kansen, met name voor particuliere wifi-netwerken. Tegelijkertijd biedt WPA2-Enterprise voor professionele toepassingen nog steeds goede bescherming en een sluitende keten van verantwoordelijkheden. Vooralsnog is voor overheidspartijen versie 3 nog niet verplicht. En voordat dat besluit genomen kan worden moet nog grondig naar de backward compatibility gekeken worden. Stichting govroam volgt de ontwikkelingen en kijkt zoals vanouds goed naar de eduroam community om te bepalen wat een geschikt moment is om WPA3 in te voeren, onder welke condities en op welke wijze. In bestaande wifi-netwerken zal dat naar verwachting betekenen dat WPA2 en WPA3 nog (lang) naast elkaar zullen blijven werken. Alle nieuwe technieken ten spijt, zal zelfs WPA3 niet eeuwig sluitende bescherming bieden, en zullen ontwerpers en hackers elkaar blijven aftroeven met slimmigheden. Wifi is en blijft een ‘shared medium’ en de lucht is nu eenmaal makkelijker toegankelijk voor een hacker dan een kabel.
We houden u op de hoogte.
Meer informatie?
De meeste online informatie richt zich op aspecten die betrekking hebben op particulier gebruik van WPA3, wees daarop bedacht.
Over certificering en verwijzing naar onderliggende standaarden: https://www.wi-fi.org/discover-wi-fi/security
Algemeen overzicht: https://tweakers.net/reviews/6469/wpa3-hoe-gaan-we-erop-vooruit.html
En natuurlijk wikipedia: https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access
UPDATE: er is een aanvulling op dit artikel, kijk op de govroam wiki voor meer info.
Erik Dobbelsteijn, technisch coördinator govroam