ayf Posted June 27, 2018 · Report post Коллеги, только вчера прочитал, что выходит wpa 3. Кто что про это знает? Что-то мне подсказывает, что вряд ли циска внесет изменения в действующие контроллеры. Скорее сделают новую серию и предложат за 100500 своих денег. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NN----NN Posted June 27, 2018 · Report post Cisco is in full support of Wi-Fi Alliance’s continual focus on security evolution to WPA3. The WPA3 program will bring much needed upgrades to wireless security protecting all levels of customers from consumer to enterprise/government. Cisco is committed to integrating WPA3 features into our Aironet Access Points and Wireless Controllers via a firmware upgrade so that our existing and new customers can take advantage of the capabilities offered by WPA3. - Greg Dorai, Vice President Cisco WLAN, Cisco. https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 27, 2018 · Report post А мне вот не очевидно почему менять железо а не только софт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NN----NN Posted June 27, 2018 · Report post @pvl , есть у меня цитата и ссылка на первоисточник, на его официальное сообщение. Какой смысл цитировать "новости в пересказе", пересказанные в меру сил и знаний журналиста? Что 3dnews, что Verge ничего больше, чем есть в официальной новости, не расскажут. WPA3-Enterprise Enterprise, governments, and financial institutions have greater security with WPA3-Enterprise. WPA3-Enterprise builds upon WPA2 and ensures the consistent application of security protocols across the network. WPA3-Enterprise also offers an optional mode using 192-bit minimum-strength security protocols and cryptographic tools to better protect sensitive data: Authenticated encryption: 256-bit Galois/Counter Mode Protocol (GCMP-256) Key derivation and confirmation: 384-bit Hashed Message Authentication Mode (HMAC) with Secure Hash Algorithm (HMAC-SHA384) Key establishment and authentication: Elliptic Curve Diffie-Hellman (ECDH) exchange and Elliptic Curve Digital Signature Algorithm (ECDSA) using a 384-bit elliptic curve Robust management frame protection: 256-bit Broadcast/Multicast Integrity Protocol Galois Message Authentication Code (BIP-GMAC-256) The 192-bit security mode offered by WPA3-Enterprise ensures the right combination of cryptographic tools are used and sets a consistent baseline of security within a WPA3 network. С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ayf Posted June 27, 2018 · Report post 50 минут назад, Ivan_83 сказал: А мне вот не очевидно почему менять железо а не только софт. Потому что это принесет компаниям производителям бОльшие деньги, нежели замена софта. Мне вот надо бы сейчас софт поменять на контроллере, но новый софт не поддерживает старые точки, коих у меня 40 шт. А купить 40 штук новых - это миллион рублей. Вот и сижу на старом софте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted June 27, 2018 · Report post 1 час назад, NN----NN сказал: С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации? При ввозе не поменяется ничего - нотификация: Цитата Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zurz Posted June 27, 2018 · Report post 16 минут назад, pvl сказал: Нужен кэп. Как перевести фразу: ... is committed to integrating WPA3 features into our "привержены стремлению внедрить" все забугорные пресс-релизы тщательно вылизываются юристами, дабы не наделать никаких юридически значимых обещаний. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 27, 2018 · Report post 13 минут назад, NN----NN сказал: С таким уровнем/параметрами шифрования не возникнут проблемы при ввозе/закупке/эксплуатации? Нет, сейчас же их не возникает, хотя там AES. И в интелах и амд тоже AES. Меня тут смущает другое: sha384 - тут бесполезен и вреден: sha256 уже вылизан по скорости и есть в железе, при этом ничуть не менее секурен, особенно в таком применении. secp384r1 - тоже фигня: с одной стороны элиптика часто склонная к тайминг атакам в реализациях, с другой её считать долго, ещё ходят слухи что её научились уже ломать...лучше бы rsa4096 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zurz Posted June 27, 2018 (edited) · Report post у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит. Edited June 27, 2018 by zurz Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted June 27, 2018 · Report post https://csrc.nist.gov/csrc/media/events/lightweight-cryptography-workshop-2015/documents/presentations/session7-vincent.pdf Да, большинство старого железа соснёт. Софтовые оптимизации возможны, но может не хватить памяти (страницы 34-36). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted June 29, 2018 · Report post В 27.06.2018 в 16:43, zurz сказал: у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит. Смотря как сделано. Тот же AES-NI там просто есть функция раундового шифрования, которая дёргается 10 раз для 128 бит и 12 раз для 256 шифрования. А вот с SHA-382 - тут по любому облом будет, даже новые интелы и райзены не имеют аппаратных инструкций для этого, там только SHA2-256 (и 224 огрызок). Элиптику полюбому будет считать CPU, притом очень долго и натужно: у меня код делал 1к подписей за 0,6 сек кажется, но это на большом интеле с его гигансткими частотами и кешами, и юзать память он тоже не стеснялся, для эмбеда скорее всего ещё и доступную память подрежут и всё будет грустно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NN----NN Posted June 29, 2018 · Report post Экспортный вариант оборудования может отличаться - быть "слабее" или с бэкдором. Так что может быть, что процессору и не придётся мучиться с элиптическими кривыми. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted June 30, 2018 · Report post В 27.06.2018 в 18:43, zurz сказал: у всех полноскоростных "n" и "a/ac" реализация шифрования сделана "в железе" для обеспечения нужной скорости. поэтому никаких обновлений ждать имхо не стоит. Даже редкие 802.11g устройства не имели криптоблока на борту, ибо AES в софте это очень дорого для CPU. У нас в новых модельках (сейчас на стадии доводки софта и финальных версий PCB) будет поддержка WPA3+PMF из коробки. Для старых моделей увы нет, криптоблоки тупо не умеют нужных алогитмов. А в софте оно помрёт от натуги в т.ч. по раме. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zurz Posted July 1, 2018 · Report post В 29.06.2018 в 18:40, Ivan_83 сказал: Элиптику полюбому будет считать CPU, притом очень долго и натужно: у меня код делал 1к подписей за 0,6 сек кажется, но это на большом интеле с его гигансткими частотами и кешами, и юзать память он тоже не стеснялся, для эмбеда скорее всего ещё и доступную память подрежут и всё будет грустно. ECDSA давно есть реализация в железе. https://www.athena-group.com/ec-ultra-elliptic-curve Over 4,300 ECDSA P-384 verify operations per second если покажется мало - поставят не одно такое ядрышко, а несколько Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted July 1, 2018 · Report post Да и железо поменялось. Радио нынче на борту ARM ядрышко имеют собственное, ну и раму ессно. Всмысле прямо радиомодули, тот же MT7615. Дури там не мало, вполне сравнимо с hostcpu роутеров 3х летней давности. Так что на хостcpu почти ничего по сути в них уже считаться не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted July 1, 2018 · Report post ECDSA это тебе не SHA и не AES, там кода на ПОРЯДКИ больше, по сути там полноценная либа с математикой на длинных числах. И операций там с этими числами тоже много. И памяти нужно много. Я к тому, что даже одно ядро будет стоит дорого и занимать много, скорее всего это отдадут на обычный CPU, в лучшем случае там будут какие то полезные SIMD задействованы. И последнее: 4к3 операций проверки подписи может вполне означать что они выкинули из замеров часть в которой ключ разворачивается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...