WPA3 i Wi-Fi Enhanced Open

Android 10 obsługuje (WFA) Wi-Fi Protected Access w wersji 3 (WPA3) i Wi-Fi Enhanced Open do standardów statystycznych. Więcej Więcej informacji zawiera Bezpieczeństwo w witrynie WFA.

WPA3 to nowy standard zabezpieczeń WFA dla użytkowników osobistych i firmowych sieci. Mają one na celu poprawę ogólnego bezpieczeństwa sieci Wi-Fi przez wykorzystanie nowoczesnych zabezpieczeń na podstawie naszych algorytmów i mechanizmów szyfrów. Protokół WPA3 składa się z 2 części:

• WPA3-Personal: korzysta z uwierzytelniania równoczesnego (SAE). zamiast klucza PSK, zwiększając bezpieczeństwo użytkowników. przed atakami takimi jak ataki ze strony słownika offline, odzyskiwania i fałszowania wiadomości.
• WPA3-Enterprise: oferuje silniejsze uwierzytelnianie i warstwę linków. metod szyfrowania oraz opcjonalnego 192-bitowego trybu zabezpieczeń dla środowisk zabezpieczeń.

Wi-Fi Enhanced Open to nowy standard zabezpieczeń WFA dla kanałów publicznych korzystające z oportunistycznego szyfrowania bezprzewodowego (OWE). Zapewnia szyfrowania i ochrony prywatności w otwartych sieciach niechronionych hasłem w obszarach takich jak w kawiarniach, hotelach, restauracjach i bibliotekach. Ulepszone otwieranie nie zapewnia dostępu do funkcji, uwierzytelnianie.

WPA3 i Wi-Fi Enhanced Open zwiększają ogólne bezpieczeństwo sieci Wi-Fi, prywatność i odporność na znane ataki. Wiele urządzeń jeszcze nie obsługuje tej funkcji tych standardów lub nie zostały jeszcze zaktualizowane oprogramowanie umożliwiające obsługę tych funkcji, WFA zaproponowała te tryby przejścia:

• Tryb przejścia WPA2/WPA3: punkt dostępu obsługujący WPA2 i Równocześnie ze standardami WPA3. W tym trybie Android 10 urządzeń korzysta z protokołu WPA3 do łączenia się, z Androidem 9 lub starszym do łączenia się z tym samym punktem dostępu używa WPA2.
• Tryb przejścia WPA2/WPA3-Enterprise: obsługujący punkt dostępu. obsługuje jednocześnie standardy WPA2-Enterprise i WPA3-Enterprise.
• Tryb przejścia OWE: punkt dostępu obsługującego obsługuje zarówno tryb OWE, jak i otwarty konkurencyjności i standardów. W tym trybie Android 10 urządzenia używają OWE do łączenia, a urządzenia z Androidem 9 lub starszym łączą do tego samego punktu dostępu bez szyfrowania.

Android 12 obsługuje oznaczenie wyłączenia przejścia. mechanizm, który sprawia, że urządzenia nie korzystają z WPA2 i zamiast tego powinny używać WPA3. Gdy urządzenie otrzyma to oznaczenie, do połączenia z WPA3 użyje WPA3 która obsługuje tryb przejścia. Android 12 Obsługuje też wymianę uwierzytelniania WPA3 Hash-to-Element (H2E). Więcej więcej informacji zawiera Specyfikacja WPA3

Zabezpieczenia WPA3 i Wi-Fi Enhanced Open są obsługiwane tylko w trybie klienta.

Implementacja

Aby zapewnić obsługę WPA3 i Wi-Fi Enhanced Open, zaimplementuj interfejs Supplicant HAL. Od Androida 13 interfejs używa AIDL do definicji HAL. W przypadku wersji starszych niż 13: interfejsy i partycje dostawcy używają HIDL. Interfejs HIDL znajduje się tutaj: hardware/interfaces/wifi/supplicant/1.3/ a interfejs AIDL znajduje się hardware/interfaces/wifi/supplicant/aidl/,

Do obsługi WPA3 i OWE wymagane są:

• Poprawki jądra systemu Linux obsługujące SAE i OWE

  • cfG80211
  • nl80211

• wpa_supplicant z obsługą SAE, SUITEB192 i OWE

• Sterownik Wi-Fi obsługujący SAE, SUITEB192 i OWE

• Oprogramowanie Wi-Fi z obsługą SAE, SUITEB192 i OWE

• Układ Wi-Fi z obsługą WPA3 i OWE

Publiczne metody interfejsu API są dostępne w Androidzie 10, aby umożliwić aby określić, czy urządzenie obsługuje te funkcje:

• WifiManager#isWpa3SaeSupported
• WifiManager#isWpa3SuiteBSupported
• WifiManager#isEnhancedOpenSupported

WifiConfiguration.java zawiera nowe typy zarządzania kluczami, jak również mechanizmy szyfrowania parowego, szyfrowania grupowego, szyfry zarządzania grupami i szyfry w pakiecie B, które są wymagane do działania OWE. WPA3-Personal i WPA3-Enterprise.

Włącz WPA3 i Wi-Fi Enhanced Open

Aby włączyć WPA3-Personal, WPA3-Enterprise i Wi-Fi Enhanced Open na Androidzie, platforma:

• WPA3-Personal: umieść opcję kompilacji CONFIG_SAE w wpa_supplicant plik konfiguracji.

  # WPA3-Personal (SAE)
  CONFIG_SAE=y
  

• WPA3-Enterprise: uwzględnij CONFIG_SUITEB192 oraz CONFIG_SUITEB. opcji kompilacji w pliku konfiguracji wpa_supplicant.

  # WPA3-Enterprise (SuiteB-192)
  CONFIG_SUITEB=y
  CONFIG_SUITEB192=y
  

• Rozszerzone otwarcie Wi-Fi: umieść opcję kompilacji CONFIG_OWE w pliku danych wpa_supplicant.

  # Opportunistic Wireless Encryption (OWE)
  # Experimental implementation of draft-harkins-owe-07.txt
  CONFIG_OWE=y
  

Jeśli nie są włączone WPA3-Personal, WPA3-Enterprise lub Wi-Fi Enhanced Open, użytkownicy nie będą mogli ręcznie dodawać takich sieci, skanować ich ani łączyć się z nimi.

Weryfikacja

Aby sprawdzić implementację, przeprowadź te testy.

Testy jednostkowe

Bieganie SupplicantStaIfaceHalTest w celu zweryfikowania działania flag funkcji WPA3 i OWE.

atest SupplicantStaIfaceHalTest

Bieganie WifiManagerTest aby zweryfikować działanie publicznych interfejsów API dla tej funkcji.

atest WifiManagerTest

Testy VTS

Jeśli interfejs HIDL jest zaimplementowany, uruchom polecenie:

atest VtsHalWifiSupplicantV1_3TargetTest

Jeśli interfejs AIDL jest zaimplementowany, uruchom polecenie:

atest VtsHalWifiSupplicantStaIfaceTargetTest