• IT-Karriere:
  • Services:

Dragonfly: Neue Sicherheitslücken in Verschlüsselungsstandard WPA3

Wie lange ein kryptografisches Verfahren braucht, kann ungewollt Informationen verraten. Mit einer solchen Schwachstelle konnten Forscher Passwörter bei der WLAN-Verschlüsselung WPA3 knacken.

Artikel veröffentlicht am , Anna Biselli
Dragonblood bei Dragonfly, der Libelle
Dragonblood bei Dragonfly, der Libelle (Bild: Balaji Malliswamy/unsplash.com)

Der WLAN-Verschlüsselungsstandard WPA3 sollte einige Sicherheitsprobleme des alten Standards WPA2 lösen. Dort konnte durch dem sogenannten Krack-Angriff bei manchen Konfigurationen verschlüsselte Kommunikation mitgelesen werden.

Stellenmarkt
  1. Dr. August Oetker Nahrungsmittel KG, Bielefeld
  2. KiKxxl GmbH, Osnabrück

Doch auch WPA3 ist nicht frei von Fehlern. Im April dieses Jahres veröffentlichten die Sicherheitsforscher Eyal Ronen und Mathy Vanhoef, der auch Krack entdeckte, fünf Schwachstellen in dem Standard. Nun haben sie zwei weitere gefunden.

Diese Fehler befanden sich gerade in jenen Empfehlungen der Hersteller-Vereinigung Wi-Fi Alliance, mit denen die früheren Angriffe unterbunden werden sollten. Sie könnten wie manche der alten Angriffe für kryptografische Operationen ausgenutzt werden, um Informationen über das WLAN-Passwort zu erhalten. Sie tragen daher auch den gleichen Namen: Dragonblood. Das ist eine Anspielung auf WPA3s Schlüsselaustauschmechanismus mit dem Namen Dragonfly - auf Deutsch Libelle.

Die Wiederholungen verraten Informationen

Bei der Passwortverschlüsselung versucht ein Algorithmus, einen Hash-Wert zu finden, der kleiner ist als die Primzahl der zugrunde liegenden elliptischen Kurve. Bei den sogenannten Brainpool-Kurven kann das - je nach Passwort und MAC-Adresse des Clients - mehrere und unterschiedlich viele Versuche benötigen. Aus dieser Anzahl ließen sich Informationen über das Passwort ableiten, schreiben die Forscher. Durch diese Zusatzhinweise hätten sie mit einem praktischen Angriff ein Passwort knacken können. Eine weitere Schwachstelle fanden sie in der EAP-pwd-Implementation von FreeRADIUS, die viele Hersteller zur Authentifizierung nutzen und das in WPA3 weiter unterstützt wird.

Die Forscher kritisierten die Wi-Fi Alliance: "Das zeigt wieder einmal, dass die geschlossene Entwicklung von Sicherheitsempfehlungen und Standards im besten Fall verantwortungslos und im schlimmsten Fall sinnlos ist." Dadurch werde die Open-Source-Community ausgeschlossen und könne nicht helfen, dass Schwachstellen es gar nicht erst in Standards schafften, zitiert ZDnet die Forscher.

Die neuen Sicherheitslücken würden mit einer weiteren, sichereren Protokollversion geschlossen. Rückwärtskompatiblel seien diese Aktualisierungen jedoch nicht. Die Forscher gingen davon aus, dass es einen neuen Standard WPA3.1 geben könnte, berichtet ZDnet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
  2. (u. a. XFX Radeon RX 6800 QICK319 BLACK Gaming 16GB für 949€)

Wiki-Nger 06. Aug 2019

Liest man den Artikel auf: https://wpa3.mathyvanhoef.com/#new so kann man sehen...

randya99 06. Aug 2019

Das ist kein Problem weil es sowieso niemand verwendet. Da es nicht abwärtskompatibel...

brotiger 05. Aug 2019

Die Mitglieder der WiFi Alliance kontrollieren sämtliche Teile der Standards, von der...


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
Bill Gates: Mit Technik gegen die Klimakatastrophe
Bill Gates
Mit Technik gegen die Klimakatastrophe

Bill Gates' Buch über die Bekämpfung des Klimawandels hat Schwächen, es lohnt sich aber trotzdem, dem Microsoft-Gründer zuzuhören.
Eine Rezension von Hanno Böck

  1. Microsoft-Gründer Bill Gates startet Podcast

Videokonferenzen: Bessere Webcams, bitte!
Videokonferenzen
Bessere Webcams, bitte!

Warum sehen in Videokonferenzen immer alle schlecht aus? Die Webcam-Hersteller sind (oft) schuld.
Ein IMHO von Martin Wolf

  1. Webcam im Eigenbau Mit wenigen Handgriffen wird die Pi HQ Cam zur USB-Kamera

XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
XPS 13 (9310) im Test
Dells Ultrabook ist besser denn je

Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
Ein Test von Marc Sauter

  1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
  2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
  3. XPS 13 (9300) im Test Dells i-Tüpfelchen

    •  /