WPA3 – doch komplizierter als ursprünglich gedacht!

Gesagt, getan. Und schon tauchte die erste Schwierigkeit auf: Bei der Konfiguration (ich nutze die Cloud-Lösung eines bekannten Netzwerk-Ausrüsters) war die Entscheidung zwischen „HNP“ oder „H2E“ oder einer Kombination aus beidem zu fällen. Was sollte ich wählen?

Dazu musste ich erst einmal lesen, und zwar meinen eigenen Standpunkt [2]. Das Neue an WPA3 ist insbesondere die erhöhte Sicherheit der „Personal“-Varianten von WPA, d.h. der Varianten mit PSK. Bei WPA2 wird im Rahmen des sogenannten 4-Wege-Handshakes Schlüsselmaterial ausgetauscht, das aus dem PSK abgeleitet wurde. Schneidet ein Angreifer diesen Austausch mit, kann er anschließend z. B. mittels eines Wörterbuchs in Ruhe ausprobieren, ob eines der Wörter genau dieses Schlüsselmaterial ergibt. Sobald er den PSK gefunden hat, kann der Angreifer anschließend allen aufgezeichneten WLAN-Verkehr entschlüsseln.

WPA3 setzt eine zusätzliche Authentisierung vor den 4-Wege-Handshake. Über ein Hash-Verfahren mittels Elliptischer Kurven ermitteln Access Point und Client aus den PSKs ein sogenanntes Passwort-Element (PWE), das anstelle des PSK im nachfolgenden 4-Wege-Handshake verwendet wird. Der Algorithmus zur Ermittlung des PWEs heißt „Dragonfly“ und wurde in RFC 7664 publik gemacht. Bei WPA3 heißt das Verfahren „Simultaneous Authentication of Equals“ (SAE). SAE soll robust gegen Wörterbuch-Attacken sein.

Doch wie schon des Öfteren in Zusammenhang mit WLAN, haben auch hier findige Köpfe Schwächen entdeckt. In [3] beschreiben die Autoren mehrere Schwachstellen von WPA3-SAE. Zugegeben, die Mathematik der Kryptographie ist mir zu hoch, um sie zu verstehen. Etwas verständlicher ist die Veröffentlichung [4].

Nur so viel: Eine der Schwachstellen basiert darauf, dass SAE das Passwort-Element ursprünglich mit einer Iteration namens „Hunting-and-Pecking“ (HNP) berechnet. Die Antwortzeit eines Access Point auf die Authentisierungs-Anfrage des Clients hängt davon ab, wie oft die Iteration durchlaufen wird. Ein Angreifer bestimmt im Rahmen einer Wörterbuch-Attacke die Antwortzeiten für Gruppen von PSKs und vergleicht sie mit der Antwortzeit, die ein authentisierter Client erlebt.

Die genannte Schwäche des HNP wird durch ein neues Verfahren vermieden, bei dem das Passwort-Element durch einen direkten Hash entsteht. Es wird als „Hash-to-Element“ (H2E) bezeichnet. In IEEE 802.11-2020 sind entsprechende Definitionen bereits vorhanden. Insbesondere kann ein Access Point den Clients im Beacon Frame mitteilen, ob er eine SAE-Authentisierung mit H2E erwartet.

Wir haben es also nun mit zwei Varianten von WPA3 zu tun. Und Sie ahnen es bereits: nicht jedes WLAN-Produkt, das WPA3-fähig ist, unterstützt beide Varianten. Wie lässt sich also Interoperabilität sicherstellen? Hier springt wieder einmal die Wi-Fi Alliance in die Bresche. Die aktuelle Version der WPA3-Spezifikation [5] umfasst inzwischen mehr als 50 Seiten. Hierauf in der Folge ein paar Schlaglichter:

• Neben den bereits bekannten Modi „WPA3-Personal only“ und „Transition Mode“ gibt es nun einen „Compatibility Mode“. Er ist für WLANs mit älteren WPA3-fähigen Clients gedacht. Solchen Clients wird nur WPA2-PSK angeboten, wohingegen moderne WPA3-Clients sich mit H2E verbinden können.
• Der „Transition Mode“ ist im 6-GHz-Band nicht zugelassen. Ein Access Point im „Compatibility Mode“ wird im 6-GHz-Band nur WPA3 zulassen.
• Im 6-GHz-Band ist ausschließlich H2E zugelassen.
• Wenn Stationen die Features von Wi-Fi 7 nutzen wollen, also „Extremely High Throughput“ (EHT) oder „Multi-Link Operation“ (MLO), ist WPA3 zwingend.

Bei meinen Experimenten kam übrigens heraus, dass mein Netzwerk-Ausrüster WPA3 mit H2E überhaupt nur auf seinen Wi-Fi 6E APs unterstützt. Ich konnte zwar auch meinen 5-GHz-SSID mit „ausschließlich H2E“ konfigurieren, ohne eine Fehlermeldung zu erhalten (!). Dann konnte sich jedoch kein Client mehr verbinden.

Außerdem kam heraus, dass WPA3 unter Windows 11 auch von halbwegs modernen PCs nicht unbedingt unterstützt wird. Es hängt vom WLAN-Treiber ab. So gibt Intel z. B. an, WPA3 erst ab der Serie Wireless-AC 9xxx zu unterstützen.

Was ist also mein Fazit? Die meisten meiner Kunden haben ein heterogenes Client-Umfeld. Wenn es derselbe SSID sein soll, kommt man um „Transition Mode“ bzw. „Compatibility Mode“ nicht herum. Ein PSK mit hoher Komplexität ist nach wie vor zwingend, um Angriffe gegen WPA2-Personal abzuwehren. WPA3 bietet demgegenüber nur den Vorteil, dass selbst bei bekanntem PSK der Datenverkehr nicht abgehört werden kann.

Zu guter Letzt: In ausgedehnten WLANs, bei denen Clients von unterschiedlichsten Organisationseinheiten betrieben werden, wird bekanntlich jeder den PSK irgendwann kennen – auch mit WPA3. Dagegen helfen nur die „Enterprise“-Varianten von WPA, bei denen Authentisierung und Schlüsselmanagement mittels RADIUS und EAP erfolgen. Und dabei stellt sich auch die Frage nach HNP oder H2E nicht.

Verweise

[1] „WPA2 gehackt: ist WPA3 sicherer?“, Der Netzwerk Insider, Ausgabe Juli 2018, abgerufen unter: https://www.comconsult.com/wpa2-gehackt/
[2] „Was ändert sich mit WPA3?“, ComConsult, Stephan Bien, Webinar, September 2021, abgerufen unter: https://www.comconsult.com/was-aendert-sich-mit-wpa3/
[3] „Dragonblood: Analyzing the Dragonfly Handshake of WPA3 and EAP-pwd“, Mathy Vanhoef & Eyal Ronen, April 2019, abgerufen unter: https://papers.mathyvanhoef.com/dragonblood.pdf
[4] „Why we transitioned from Hunting-and-Pecking to Hash-to-Element in WPA3-SAE Password Element Derivation“, WizardFi, März 2024, abgerufen unter: https://wizardfi.com/security/2024/03/29/hash-to-curve.html
[5] „WPA3™ Specification Version 3.4“, Wi-Fi Alliance, Oktober 2024, abgerufen unter: https://www.wi-fi.org/system/files/WPA3%20Specification%20v3.4.pdf