Abo
  • IT-Karriere:

Dragonfly: Neue Sicherheitslücken in Verschlüsselungsstandard WPA3

Wie lange ein kryptografisches Verfahren braucht, kann ungewollt Informationen verraten. Mit einer solchen Schwachstelle konnten Forscher Passwörter bei der WLAN-Verschlüsselung WPA3 knacken.

Artikel veröffentlicht am , Anna Biselli
Dragonblood bei Dragonfly, der Libelle
Dragonblood bei Dragonfly, der Libelle (Bild: Balaji Malliswamy/unsplash.com)

Der WLAN-Verschlüsselungsstandard WPA3 sollte einige Sicherheitsprobleme des alten Standards WPA2 lösen. Dort konnte durch dem sogenannten Krack-Angriff bei manchen Konfigurationen verschlüsselte Kommunikation mitgelesen werden.

Stellenmarkt
  1. Deloitte, verschiedene Standorte
  2. Senat der Freien und Hansestadt Hamburg - Senatskanzlei, Hamburg

Doch auch WPA3 ist nicht frei von Fehlern. Im April dieses Jahres veröffentlichten die Sicherheitsforscher Eyal Ronen und Mathy Vanhoef, der auch Krack entdeckte, fünf Schwachstellen in dem Standard. Nun haben sie zwei weitere gefunden.

Diese Fehler befanden sich gerade in jenen Empfehlungen der Hersteller-Vereinigung Wi-Fi Alliance, mit denen die früheren Angriffe unterbunden werden sollten. Sie könnten wie manche der alten Angriffe für kryptografische Operationen ausgenutzt werden, um Informationen über das WLAN-Passwort zu erhalten. Sie tragen daher auch den gleichen Namen: Dragonblood. Das ist eine Anspielung auf WPA3s Schlüsselaustauschmechanismus mit dem Namen Dragonfly - auf Deutsch Libelle.

Die Wiederholungen verraten Informationen

Bei der Passwortverschlüsselung versucht ein Algorithmus, einen Hash-Wert zu finden, der kleiner ist als die Primzahl der zugrunde liegenden elliptischen Kurve. Bei den sogenannten Brainpool-Kurven kann das - je nach Passwort und MAC-Adresse des Clients - mehrere und unterschiedlich viele Versuche benötigen. Aus dieser Anzahl ließen sich Informationen über das Passwort ableiten, schreiben die Forscher. Durch diese Zusatzhinweise hätten sie mit einem praktischen Angriff ein Passwort knacken können. Eine weitere Schwachstelle fanden sie in der EAP-pwd-Implementation von FreeRADIUS, die viele Hersteller zur Authentifizierung nutzen und das in WPA3 weiter unterstützt wird.

Die Forscher kritisierten die Wi-Fi Alliance: "Das zeigt wieder einmal, dass die geschlossene Entwicklung von Sicherheitsempfehlungen und Standards im besten Fall verantwortungslos und im schlimmsten Fall sinnlos ist." Dadurch werde die Open-Source-Community ausgeschlossen und könne nicht helfen, dass Schwachstellen es gar nicht erst in Standards schafften, zitiert ZDnet die Forscher.

Die neuen Sicherheitslücken würden mit einer weiteren, sichereren Protokollversion geschlossen. Rückwärtskompatiblel seien diese Aktualisierungen jedoch nicht. Die Forscher gingen davon aus, dass es einen neuen Standard WPA3.1 geben könnte, berichtet ZDnet.



Anzeige
Hardware-Angebote
  1. 61,90€
  2. (u. a. beide Spiele zu Ryzen 9 3000 oder 7 3800X Series, eines davon zu Ryzen 7 3700X/5 3600X/7...

Wiki-Nger 06. Aug 2019

Liest man den Artikel auf: https://wpa3.mathyvanhoef.com/#new so kann man sehen...

randya99 06. Aug 2019

Das ist kein Problem weil es sowieso niemand verwendet. Da es nicht abwärtskompatibel...

brotiger 05. Aug 2019

Die Mitglieder der WiFi Alliance kontrollieren sämtliche Teile der Standards, von der...


Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
SSD-Kompendium: AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick
SSD-Kompendium
AHCI, M.2, NVMe, PCIe, Sata, U.2 - ein Überblick

Heutige SSDs gibt es in allerhand Formfaktoren mit diversen Anbindungen und Protokollen, selbst der verwendete Speicher ist längst nicht mehr zwingend NAND-Flash. Wir erläutern die Unterschiede und Gemeinsamkeiten der Solid State Drives.
Von Marc Sauter

  1. PM1733 Samsungs PCIe-Gen4-SSD macht die 8 GByte/s voll
  2. PS5018-E18 Phisons PCIe-Gen4-SSD-Controller liefert 7 GByte/s
  3. Ultrastar SN640 Western Digital bringt SSD mit 31 TByte im E1.L-Ruler-Format

Medienkompetenz: Was, Ihr Kind kann nicht programmieren?
Medienkompetenz
Was, Ihr Kind kann nicht programmieren?

Lesen, schreiben, rechnen und coden: Müssen Kinder programmieren lernen? Vielleicht nicht. Aber sie sollen verstehen, wie Computer funktionieren. Wie das am besten geht.
Von Jakob von Lindern

  1. 5G Milliardenlücke beim Digitalpakt Schule droht
  2. Digitalpakt Schuldigitalisierung kann starten
  3. Whatsapp bei Lehrern Kultusministerkonferenz pocht auf Datenschutz

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

    •  /