WPA3に脆弱性が発見される？

WPA3に脆弱性が発見された模様です。

記事を探したい人は、（私は外部リンクはできる限り張らない主義なので）「WPA3に脆弱性」で検索してください。

発見者は「Dragonblood」と名付けています。

主な脆弱性は2点です。

一つ目は、WPA3が下位互換のためにWPA2の接続をサポートしていることが原因で、通信に割り込まれるとWPA3で接続しているつもりでWPA2にダウングレードされてパスワードが漏えい、盗聴が可能になる。というものです。

私は詳しくないのですが、WPA3の仕様でWPA3で通信中でもクライアントからの要請でWPA2にダウングレードされてしまうのでしょうか。

そういった仕様が規程されていなければ、実装上の問題ということになりますね。WPA3の仕様を変更する必要があるかどうかはその点に収束しそうです。

二つ目は、サイドチャンネル攻撃といって通信を読み取りにくくするアルゴリズムをダウングレードしてパスワードの一部を暗号化しない状態にできる可能性があるというもので、繰り返すことでパスワードが取得され、不正な接続が可能になってしまう。というもの。

脆弱なアルゴリズムを指定できてしまうということが問題なようですが、アルゴリズム上の単純な問題であれば、実装で除外してしまうという手もありますが、WPA3の仕様変更が必要な可能性もあります。

一つ目に関しては、クライアント側にWPA3の接続を必須とするようなスイッチを設けられればアクセスポイントが脆弱でも防げそうですね。

二つ目はクライアントの実装が面倒臭そうな予感はありますが、最悪、互換性を無視すれば、脆弱なアルゴリズムでの要求を無視するようにすれば対応できそうな気がします。

最終的にどう対応するのか要注目ですね。

・・・って、その前に対応製品を早く出してくれ～～～！！