Есть ли жизнь на WPA3?

Недавно поставил wpad-openssl

А зачем? Если я правильно понял, то WPA3 уже в базе с версии 22 (если не раньше).

В обычном wpad нет WPA3, только в wpad-openssl/wpad-wolfssl.

OpenWrt 22.03.6

Redmi 7a. Не умеет в 2.4Ghz

Я опечатался. В 5Ghz не умеет, только 2.4Ghz.

Почему поддержка софта такая сырая?

Потому что всем насрать.

И насколько WPA2 теперь решето?

Не особо, если ты используешь WPA2+AES, например.

Я вроде бы слышал, что при достаточно мощном железе его реально поломать, особенно на слабых паролях.

Ну, да. Атака со словарём – универсальная всрань. Не ставь слабый пароль и будет тебе счастье.

Основная писечка WPA3 в том, что он позволяет делать открытые (т.е. без пароля или сертификатов) шифрованные точки доступа, и теперь просто включив airodump/kismet ты не сможешь слушать нешифрованный трафик всех кис в старбаксе через дорогу.

Потому что всем насрать.

Бесплатный Wi-Fi где угодно)

Не особо, если ты используешь WPA2+AES, например.

Да дело не в AES, который в WPA3 тоже, а в алгоритме обмена ключами. В WPA3 юзают Dragonfly key exchange (aka SAE) vs PSK в WPA2.

https://www.scirp.org/journal/paperinformation?paperid=54581

При наличии мощной GPU и словарей WPA2 говорят можно легко поломать если пароль слабый (пароль типа «waylandgovno123$» ломается за 3 минуты).

Вопрос в том, насколько решето на практике.

Некоторые ревизии QCA9377 должны поддерживать WPA3, по крайней мере под Windows 10. Видимо, это вопрос к ядерному драйверу.

Актуальные интеловские карточки нормально работают с wpa3, года с 20 пользуюсь.

А телефоны… телефоны – зло.

Некоторые ревизии QCA9377 должны поддерживать WPA3, по крайней мере под Windows 10. Видимо, это вопрос к ядерному драйверу.

Да, У broadcom-а то ли драйвер, то ли firmware кривой.

https://forum.openwrt.org/t/wpa3-crashing-most-of-the-time-on-clients-using-qca9377-intel-7260/127357

На прошлом роутере скорость по 2.4Ghz была 100кб/c если не отключишь WMM.

Вопрос в том, насколько решето на практике.

Все просто: делаешь точку открытой, внутри wireguard. Проблема решена.

Ты, случайно, не в провайдере работаешь? :-)

Ноуп. Просто если ты параноик, полагаться на вендорское железо с вшитой криптографией это плохая затея. Оно все всегда кривое, косое, писанное членом и поддерживается три с половиной года.

Не, это костылизм.

А в WireGuard криптография типо не той же самое библиотекой делается?))

Половина танца с wpa делается прошивкой внутри карты, и дыры там находят с завидной регулярностью.

Половина танца с wpa делается прошивкой внутри карты, и дыры там находят с завидной регулярностью.

Это какой такой прошивкой? Если будет дыра, то я просто обновлю пакет с OpenSSL.

Это какой такой прошивкой?

Прошивкой твоего wifi адаптера: https://www.alliedtelesis.com/nl/en/legal/security/wifi-vulnerabilities-wpa-wpa2

Нет.

token_polyak, раскрой рукулицо что ли :)

Буязвимости, которые ты подлинковал, в прошивке роутеров: в юзерспейсном демоне, который крутится поверх линукса.

Криптографические операции можно оффлоадить на карту/чип, но это не обязательно, и когда известно, что в карте что-то сломано - можно и софтварно. Причем насколько я понял, на карте исключительно шифрование-разшифровывание AES (ну или WEP, TKIP), а выработка ключа, т.е. самое важное и самое уязвимое место - всё равно в софте.

Случай в пункте - на мой роутер с OpenWRT с новой версией оного прилетели и митигации KRACK, и поддержка WPA3-SAE, которого в родной прошивке, простите тавтологию, отродясь не было.

Буязвимости, которые ты подлинковал, в прошивке роутеров

Нет:

The known vulnerabilities mainly affect WPA2 client devices

Это баг в прошивке самого чипа. Ровно та же шляпа в ethernet картах, например, для всякой хтонической функциональности.

Вроде когда-то оффлоадили криптографию на карту (чип) Wi-Fi, но насколько мне известно - давно так не делается.

Дело не в криптографии, там session key negotiation портит память.

Случай в пункте - на мой роутер с OpenWRT с новой версией оного прилетели и митигации KRACK, и поддержка WPA3-SAE, которого в родной прошивке, простите тавтологию, отродясь не было.

Речь не про те прошивки, речь про прошивку карты:

iwlwifi 0000:08:00.0: loaded firmware version 86.fb5c9aeb.0 ty-a0-gf-a0-86.ucode op_mode iwlmvm

Так чё сразу не подлинковал нормальный источник, а какую-то муть от вендора непонятных серых коробок?

Так чё сразу не подлинковал нормальный источник, а какую-то муть от вендора непонятных серых коробок?

Это была первая попавшаяся ссылка где были задеты клиенские чипы :)

Своими неответственными действиями призовешь нам всем на головы сакуракуна, а тогда всем разгоровам про WPA3-SAE и вообще вайфай >=ac настанет в этом треде конец!

:D

Ссылка, где говорится про клиентские карточки, но ни одна так и не указана.

Ещё мы знаем что оффлайновый перебор WPA2 работает быстрее чем ты пароли менять успеваешь. И вообще не факт, что завтра не найдется новая атака того же спектра для WPA3.

Серьезно, параноикам проще сделать софтовое решение и их жизнь сразу станет простой и предсказуемой.

А это уже зависит от сложности пассфразы.

И вообще не факт, что завтра не найдется новая атака того же спектра для WPA3.

Найдётся - митигируем. Пока точка торчит в эфир - секурной она не будет.

параноикам проще

обратиться к профильному специалисту. Нет, не по сетям.

Тебе не кажется что все это из области неуловимого мстителя? У меня пароль из нескольких не то чтобы словарных, но слов, никто даже не пытался ломать на протяжении последних пяти лет.

никто даже не пытался ломать на протяжении последних пяти лет

Вот про это я и говорю. Взламываются либо интересные цели, либо низковисящие фрукты.

никто даже не пытался ломать на протяжении последних пяти лет.
никто даже не пытался
пяти лет

О сколько нам открытий чудных.
Вам (неуловимый джо) от того, что через шесть лет поломают, легче станет?

О сколько нам открытий чудных. Вам (неуловимый джо) от того, что через шесть лет поломают, легче станет?

Да. Я просто сменю пароль и не буду беспокоится об этом еще пять лет.

А о том, что ваши девайсы возможно уже не совсем ваши, вы конечно тоже париться не будете. Не ну а чё, я ж пароль на вифи сменил, значит все в шоколаде…

Что значит «не совсем ваши»? Пароль от wifi != доступ к роутеру, лол.

В вашу сеть попал сосед Вася, на какие ещё ваши девайсы он УЖЕ имеет доступ вы не знаете. Намек на установку всякого «непознанного» и т.д. и т.п. Специально для непонятливых, на примере роутера: Вася подключившись в вашей вафле, сбрутил админский пасс от вашего роутера, залил «Вася прошивку» и радуется, вы поменяли пасс от вафли, а Васе пофг, он как был у вас «как у себя дома» так и остался.

В вашу сеть попал сосед Вася, на какие ещё ваши девайсы он УЖЕ имеет доступ вы не знаете.

Лол. Он видит мои девайсы еще ДО того как попал в мою сеть. Так радио работает.

Специально для непонятливых, на примере роутера: Вася подключившись в вашей вафле, сбрутил админский пасс от вашего роутера.

Там нет админского паса, там ssh ключи.

Я тебе больше скажу: Вася может спамить deauth пакетами и не давать никому к точке подключиться. А еще Вася может поджечь дом.

Все просто: делаешь точку открытой, внутри wireguard. Проблема решена.

Я вот не совсем понимаю техническую сторону такого решения, WG на т.н. стороне сервера нужен статический ip-адрес и открытый udp-порт. И что это получается вешать алиасом отдельный ip для WG или использовать свободный из локалки? Вася, если расколет пароль их увидит и ip и порт, а Вы говорите про открытую ТД…

Какая хорошая статья. Спасибо за ссылку!

Update: WPA3 таки работает, но требует «802.11w Management Frame Protection», который садит скорость до 10-20 Мбит/c (тестировал на QCA9377), то есть WPA3 не юзабелен.

Странно. У меня на MT7921, а также на андроидном телефоне нормальные скорости с WPA3. Может, у тебя на роутере не работает оффлоад чего-нибудь?

C этой опцией садит скорость даже на WPA2, но для WPA2 она необязательна. В любом случае, даже если какой-то глюк драйвера в ноутбуке, то всё равно WPA3 пока для меня сырой.