Jump to content
Калькуляторы

Коллеги, только вчера прочитал, что выходит wpa 3. Кто что про это знает? Что-то мне подсказывает, что вряд ли циска внесет изменения в действующие контроллеры. Скорее сделают новую серию и предложат за 100500 своих денег.

Share this post


Link to post
Share on other sites

Cisco is in full support of Wi-Fi Alliance’s continual focus on security evolution to WPA3. The WPA3 program will bring much needed upgrades to wireless security protecting all levels of customers from consumer to enterprise/government. Cisco is committed to integrating WPA3 features into our Aironet Access Points and Wireless Controllers via a firmware upgrade so that our existing and new customers can take advantage of the capabilities offered by WPA3. - Greg Dorai, Vice President Cisco WLAN, Cisco.

 

https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security

Share this post


Link to post
Share on other sites

@pvl ,  есть у меня цитата и ссылка на первоисточник, на его официальное сообщение.

 

Какой смысл цитировать "новости в пересказе", пересказанные в меру сил и знаний журналиста? Что 3dnews, что Verge ничего больше, чем есть в официальной новости, не расскажут.

 

WPA3-Enterprise

Enterprise, governments, and financial institutions have greater security with WPA3-Enterprise. WPA3-Enterprise builds upon WPA2 and ensures the consistent application of security protocols across the network.

WPA3-Enterprise also offers an optional mode using 192-bit minimum-strength security protocols and cryptographic tools to better protect sensitive data:

  • Authenticated encryption: 256-bit Galois/Counter Mode Protocol (GCMP-256)
  • Key derivation and confirmation: 384-bit Hashed Message Authentication Mode (HMAC) with Secure Hash Algorithm (HMAC-SHA384)
  • Key establishment and authentication: Elliptic Curve Diffie-Hellman (ECDH) exchange and Elliptic Curve Digital Signature Algorithm (ECDSA) using a 384-bit elliptic curve
  • Robust management frame protection: 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256)

The 192-bit security mode offered by WPA3-Enterprise ensures the right combination of cryptographic tools are used and sets a consistent baseline of security within a WPA3 network.

 

С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации?

Share this post


Link to post
Share on other sites

50 минут назад, Ivan_83 сказал:

А мне вот не очевидно почему менять железо а не только софт.

Потому что это принесет компаниям производителям бОльшие деньги, нежели замена софта. Мне вот надо бы сейчас софт поменять на контроллере, но новый софт не поддерживает старые точки, коих у меня 40 шт. А купить 40 штук новых - это миллион рублей. Вот и сижу на старом софте.

Share this post


Link to post
Share on other sites

1 час назад, NN----NN сказал:

С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации?

При ввозе не поменяется ничего - нотификация:

 

Цитата

Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя

 

Share this post


Link to post
Share on other sites

16 минут назад, pvl сказал:

Нужен кэп. Как перевести фразу: ... is committed to integrating WPA3 features into our

"привержены стремлению внедрить"

 

все забугорные пресс-релизы тщательно вылизываются юристами, дабы не наделать никаких юридически значимых обещаний.

Share this post


Link to post
Share on other sites

13 минут назад, NN----NN сказал:

С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации?

Нет, сейчас же их не возникает, хотя там AES.

И в интелах и амд тоже AES.

 

Меня тут смущает другое:

sha384 - тут бесполезен и вреден: sha256 уже вылизан по скорости и есть в железе, при этом ничуть не менее секурен, особенно в таком применении.

secp384r1 - тоже фигня: с одной стороны элиптика часто склонная к тайминг атакам в реализациях, с другой её считать долго, ещё ходят слухи что её научились уже ломать...лучше бы rsa4096

Share this post


Link to post
Share on other sites

у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит.

Edited by zurz

Share this post


Link to post
Share on other sites

https://csrc.nist.gov/csrc/media/events/lightweight-cryptography-workshop-2015/documents/presentations/session7-vincent.pdf

 

Да, большинство старого железа соснёт. Софтовые оптимизации возможны, но может не хватить памяти (страницы 34-36).

Share this post


Link to post
Share on other sites

В 27.06.2018 в 16:43, zurz сказал:

у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит.

Смотря как сделано.

Тот же AES-NI там просто есть функция раундового шифрования, которая дёргается 10 раз для 128 бит и 12 раз для 256 шифрования.

А вот с SHA-382 - тут по любому облом будет, даже новые интелы и райзены не имеют аппаратных инструкций для этого, там только SHA2-256 (и 224 огрызок).

Элиптику полюбому будет считать CPU, притом очень долго и натужно: у меня код делал 1к подписей за 0,6 сек кажется, но это на большом интеле с его гигансткими частотами и кешами, и юзать память он тоже не стеснялся, для эмбеда скорее всего ещё и доступную память подрежут и всё будет грустно.

 

Share this post


Link to post
Share on other sites

Экспортный вариант оборудования может отличаться - быть "слабее" или с бэкдором. Так что может быть, что процессору и не придётся мучиться с элиптическими кривыми.

Share this post


Link to post
Share on other sites

В 27.06.2018 в 18:43, zurz сказал:

у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит.

 

Даже редкие 802.11g устройства не имели криптоблока на борту, ибо AES в софте это очень дорого для CPU.

 

У нас в новых модельках (сейчас на стадии доводки софта и финальных версий PCB) будет поддержка WPA3+PMF из коробки. Для старых моделей увы нет, криптоблоки тупо не умеют нужных алогитмов. А в софте оно помрёт от натуги в т.ч. по раме.

Share this post


Link to post
Share on other sites

 

 

В 29.06.2018 в 18:40, Ivan_83 сказал:

Элиптику полюбому будет считать CPU, притом очень долго и натужно: у меня код делал 1к подписей за 0,6 сек кажется, но это на большом интеле с его гигансткими частотами и кешами, и юзать память он тоже не стеснялся, для эмбеда скорее всего ещё и доступную память подрежут и всё будет грустно.

 

ECDSA давно есть реализация в железе.

https://www.athena-group.com/ec-ultra-elliptic-curve

Over 4,300 ECDSA P-384 verify operations per second

если покажется мало - поставят не одно такое ядрышко, а несколько

 

Share this post


Link to post
Share on other sites

Да и железо поменялось. Радио нынче на борту ARM ядрышко имеют собственное, ну и раму ессно. Всмысле прямо радиомодули, тот же MT7615. Дури там не мало, вполне сравнимо с hostcpu роутеров 3х летней давности.

 

Так что на хостcpu почти ничего по сути в них уже считаться не будет.

 

Share this post


Link to post
Share on other sites

ECDSA это тебе не SHA и не AES, там кода на ПОРЯДКИ больше, по сути там полноценная либа с математикой на длинных числах. И операций там с этими числами тоже много. И памяти нужно много.

Я к тому, что даже одно ядро будет стоит дорого и занимать много, скорее всего это отдадут на обычный CPU, в лучшем случае там будут какие то полезные SIMD задействованы.

И последнее: 4к3 операций проверки подписи может вполне означать что они выкинули из замеров часть в которой ключ разворачивается.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.