Jump to content
Калькуляторы

WPA 3

Коллеги, только вчера прочитал, что выходит wpa 3. Кто что про это знает? Что-то мне подсказывает, что вряд ли циска внесет изменения в действующие контроллеры. Скорее сделают новую серию и предложат за 100500 своих денег.

Share this post


Link to post
Share on other sites

Cisco is in full support of Wi-Fi Alliance’s continual focus on security evolution to WPA3. The WPA3 program will bring much needed upgrades to wireless security protecting all levels of customers from consumer to enterprise/government. Cisco is committed to integrating WPA3 features into our Aironet Access Points and Wireless Controllers via a firmware upgrade so that our existing and new customers can take advantage of the capabilities offered by WPA3. - Greg Dorai, Vice President Cisco WLAN, Cisco.

 

https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security

Share this post


Link to post
Share on other sites

 

Переход на WPA3 не сможет произойти путём программного обновления: потребуется замена оборудования, начиная с маршрутизатора и заканчивая клиентскими устройствами вроде смартфонов и компьютеров. Все новые продукты, конечно, будут совместимы с двумя предыдущими протоколами безопасности.

 

https://3dnews.ru/971742/print

 

Но, если перейти на https://www.theverge.com/circuitbreaker/2018/6/26/17501594/wpa3-wifi-security-certification

там пишут:

 

WPA3 protections won’t just flip on overnight — in fact, it’s going to be a many-years-long process. First, you’ll have to buy a new router that supports WPA3 (or hope that your old one is updated to support it). The same goes for all your gadgets; you’ll have to buy new ones that support WPA3, or hope your old ones are updated.

Share this post


Link to post
Share on other sites

А мне вот не очевидно почему менять железо а не только софт.

Share this post


Link to post
Share on other sites

@pvl ,  есть у меня цитата и ссылка на первоисточник, на его официальное сообщение.

 

Какой смысл цитировать "новости в пересказе", пересказанные в меру сил и знаний журналиста? Что 3dnews, что Verge ничего больше, чем есть в официальной новости, не расскажут.

 

WPA3-Enterprise

Enterprise, governments, and financial institutions have greater security with WPA3-Enterprise. WPA3-Enterprise builds upon WPA2 and ensures the consistent application of security protocols across the network.

WPA3-Enterprise also offers an optional mode using 192-bit minimum-strength security protocols and cryptographic tools to better protect sensitive data:

  • Authenticated encryption: 256-bit Galois/Counter Mode Protocol (GCMP-256)
  • Key derivation and confirmation: 384-bit Hashed Message Authentication Mode (HMAC) with Secure Hash Algorithm (HMAC-SHA384)
  • Key establishment and authentication: Elliptic Curve Diffie-Hellman (ECDH) exchange and Elliptic Curve Digital Signature Algorithm (ECDSA) using a 384-bit elliptic curve
  • Robust management frame protection: 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)

The 192-bit security mode offered by WPA3-Enterprise ensures the right combination of cryptographic tools are used and sets a consistent baseline of security within a WPA3 network.

 

С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации?

Share this post


Link to post
Share on other sites
50 минут назад, Ivan_83 сказал:

А мне вот не очевидно почему менять железо а не только софт.

Потому что это принесет компаниям производителям бОльшие деньги, нежели замена софта. Мне вот надо бы сейчас софт поменять на контроллере, но новый софт не поддерживает старые точки, коих у меня 40 шт. А купить 40 штук новых - это миллион рублей. Вот и сижу на старом софте.

Share this post


Link to post
Share on other sites
38 минут назад, NN----NN сказал:

Какой смысл цитировать "новости в пересказе", пересказанные в меру сил и знаний журналиста? Что 3dnews, что Verge ничего больше, чем есть в официальной новости, не расскажут.

Нужен кэп. Как перевести фразу: ... is committed to integrating WPA3 features into our

 

 постарается, будет стремиться, приложит все возможные усилия, вполне возможно, но вероятно вряд ли?

 

Видимо поэтому новостные ресурсы пересказывают.

Share this post


Link to post
Share on other sites
1 час назад, NN----NN сказал:

С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации?

При ввозе не поменяется ничего - нотификация:

 

Цитата

Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя

 

Share this post


Link to post
Share on other sites
16 минут назад, pvl сказал:

Нужен кэп. Как перевести фразу: ... is committed to integrating WPA3 features into our

"привержены стремлению внедрить"

 

все забугорные пресс-релизы тщательно вылизываются юристами, дабы не наделать никаких юридически значимых обещаний.

Share this post


Link to post
Share on other sites
13 минут назад, NN----NN сказал:

С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации?

Нет, сейчас же их не возникает, хотя там AES.

И в интелах и амд тоже AES.

 

Меня тут смущает другое:

sha384 - тут бесполезен и вреден: sha256 уже вылизан по скорости и есть в железе, при этом ничуть не менее секурен, особенно в таком применении.

secp384r1 - тоже фигня: с одной стороны элиптика часто склонная к тайминг атакам в реализациях, с другой её считать долго, ещё ходят слухи что её научились уже ломать...лучше бы rsa4096

Share this post


Link to post
Share on other sites

у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит.

Edited by zurz

Share this post


Link to post
Share on other sites

https://csrc.nist.gov/csrc/media/events/lightweight-cryptography-workshop-2015/documents/presentations/session7-vincent.pdf

 

Да, большинство старого железа соснёт. Софтовые оптимизации возможны, но может не хватить памяти (страницы 34-36).

Share this post


Link to post
Share on other sites
В 27.06.2018 в 16:43, zurz сказал:

у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит.

Смотря как сделано.

Тот же AES-NI там просто есть функция раундового шифрования, которая дёргается 10 раз для 128 бит и 12 раз для 256 шифрования.

А вот с SHA-382 - тут по любому облом будет, даже новые интелы и райзены не имеют аппаратных инструкций для этого, там только SHA2-256 (и 224 огрызок).

Элиптику полюбому будет считать CPU, притом очень долго и натужно: у меня код делал 1к подписей за 0,6 сек кажется, но это на большом интеле с его гигансткими частотами и кешами, и юзать память он тоже не стеснялся, для эмбеда скорее всего ещё и доступную память подрежут и всё будет грустно.

 

Share this post


Link to post
Share on other sites

Экспортный вариант оборудования может отличаться - быть "слабее" или с бэкдором. Так что может быть, что процессору и не придётся мучиться с элиптическими кривыми.

Share this post


Link to post
Share on other sites
В 27.06.2018 в 18:43, zurz сказал:

у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит.

 

Даже редкие 802.11g устройства не имели криптоблока на борту, ибо AES в софте это очень дорого для CPU.

 

У нас в новых модельках (сейчас на стадии доводки софта и финальных версий PCB) будет поддержка WPA3+PMF из коробки. Для старых моделей увы нет, криптоблоки тупо не умеют нужных алогитмов. А в софте оно помрёт от натуги в т.ч. по раме.

Share this post


Link to post
Share on other sites

 

 

В 29.06.2018 в 18:40, Ivan_83 сказал:

Элиптику полюбому будет считать CPU, притом очень долго и натужно: у меня код делал 1к подписей за 0,6 сек кажется, но это на большом интеле с его гигансткими частотами и кешами, и юзать память он тоже не стеснялся, для эмбеда скорее всего ещё и доступную память подрежут и всё будет грустно.

 

ECDSA давно есть реализация в железе.

https://www.athena-group.com/ec-ultra-elliptic-curve

Over 4,300 ECDSA P-384 verify operations per second

если покажется мало - поставят не одно такое ядрышко, а несколько

 

Share this post


Link to post
Share on other sites

Да и железо поменялось. Радио нынче на борту ARM ядрышко имеют собственное, ну и раму ессно. Всмысле прямо радиомодули, тот же MT7615. Дури там не мало, вполне сравнимо с hostcpu роутеров 3х летней давности.

 

Так что на хостcpu почти ничего по сути в них уже считаться не будет.

 

Share this post


Link to post
Share on other sites

ECDSA это тебе не SHA и не AES, там кода на ПОРЯДКИ больше, по сути там полноценная либа с математикой на длинных числах. И операций там с этими числами тоже много. И памяти нужно много.

Я к тому, что даже одно ядро будет стоит дорого и занимать много, скорее всего это отдадут на обычный CPU, в лучшем случае там будут какие то полезные SIMD задействованы.

И последнее: 4к3 операций проверки подписи может вполне означать что они выкинули из замеров часть в которой ключ разворачивается.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this