• IT-Karriere:
  • Services:

Dragonfly: Neue Sicherheitslücken in Verschlüsselungsstandard WPA3

Wie lange ein kryptografisches Verfahren braucht, kann ungewollt Informationen verraten. Mit einer solchen Schwachstelle konnten Forscher Passwörter bei der WLAN-Verschlüsselung WPA3 knacken.

Artikel veröffentlicht am , Anna Biselli
Dragonblood bei Dragonfly, der Libelle
Dragonblood bei Dragonfly, der Libelle (Bild: Balaji Malliswamy/unsplash.com)

Der WLAN-Verschlüsselungsstandard WPA3 sollte einige Sicherheitsprobleme des alten Standards WPA2 lösen. Dort konnte durch dem sogenannten Krack-Angriff bei manchen Konfigurationen verschlüsselte Kommunikation mitgelesen werden.

Stellenmarkt
  1. Senatsverwaltung für Bildung, Jugend und Familie, Berlin
  2. NOVENTI Health SE, München

Doch auch WPA3 ist nicht frei von Fehlern. Im April dieses Jahres veröffentlichten die Sicherheitsforscher Eyal Ronen und Mathy Vanhoef, der auch Krack entdeckte, fünf Schwachstellen in dem Standard. Nun haben sie zwei weitere gefunden.

Diese Fehler befanden sich gerade in jenen Empfehlungen der Hersteller-Vereinigung Wi-Fi Alliance, mit denen die früheren Angriffe unterbunden werden sollten. Sie könnten wie manche der alten Angriffe für kryptografische Operationen ausgenutzt werden, um Informationen über das WLAN-Passwort zu erhalten. Sie tragen daher auch den gleichen Namen: Dragonblood. Das ist eine Anspielung auf WPA3s Schlüsselaustauschmechanismus mit dem Namen Dragonfly - auf Deutsch Libelle.

Die Wiederholungen verraten Informationen

Bei der Passwortverschlüsselung versucht ein Algorithmus, einen Hash-Wert zu finden, der kleiner ist als die Primzahl der zugrunde liegenden elliptischen Kurve. Bei den sogenannten Brainpool-Kurven kann das - je nach Passwort und MAC-Adresse des Clients - mehrere und unterschiedlich viele Versuche benötigen. Aus dieser Anzahl ließen sich Informationen über das Passwort ableiten, schreiben die Forscher. Durch diese Zusatzhinweise hätten sie mit einem praktischen Angriff ein Passwort knacken können. Eine weitere Schwachstelle fanden sie in der EAP-pwd-Implementation von FreeRADIUS, die viele Hersteller zur Authentifizierung nutzen und das in WPA3 weiter unterstützt wird.

Die Forscher kritisierten die Wi-Fi Alliance: "Das zeigt wieder einmal, dass die geschlossene Entwicklung von Sicherheitsempfehlungen und Standards im besten Fall verantwortungslos und im schlimmsten Fall sinnlos ist." Dadurch werde die Open-Source-Community ausgeschlossen und könne nicht helfen, dass Schwachstellen es gar nicht erst in Standards schafften, zitiert ZDnet die Forscher.

Die neuen Sicherheitslücken würden mit einer weiteren, sichereren Protokollversion geschlossen. Rückwärtskompatiblel seien diese Aktualisierungen jedoch nicht. Die Forscher gingen davon aus, dass es einen neuen Standard WPA3.1 geben könnte, berichtet ZDnet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. ASUS TUF Gaming VG32VQ1B WQHD/165 Hz für 330,45€ statt 389€ im Vergleich und Tastaturen...
  2. 8€
  3. (u. a. The Crew 2 für 8,49€, Doom Eternal für 21,99€, Two Point Hospital für 8,29€, The...
  4. (u. a. Terminator: Dark Fate, Jumanji: The Next Level (auch in 4K), 21 Bridges, Cats (auch in 4K...

Wiki-Nger 06. Aug 2019

Liest man den Artikel auf: https://wpa3.mathyvanhoef.com/#new so kann man sehen...

randya99 06. Aug 2019

Das ist kein Problem weil es sowieso niemand verwendet. Da es nicht abwärtskompatibel...

brotiger 05. Aug 2019

Die Mitglieder der WiFi Alliance kontrollieren sämtliche Teile der Standards, von der...


Folgen Sie uns
       


Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
    •  /