WPA3 และ Wi-Fi Enhanced Open

Android 10 เพิ่มการรองรับ Wi-Fi Alliance (WFA) Wi-Fi Protected Access เวอร์ชัน 3 (WPA3) และ Wi-Fi Enhanced Open มาตรฐาน สำหรับข้อมูลเพิ่มเติม ดูข้อมูลได้ที่ ความปลอดภัยในเว็บไซต์ WFA

WPA3 คือมาตรฐานความปลอดภัยใหม่ของ WFA สำหรับบุคคลธรรมดาและองค์กร เครือข่าย มีเป้าหมายเพื่อปรับปรุงความปลอดภัย Wi-Fi โดยรวมโดยใช้การรักษาความปลอดภัยสมัยใหม่ และชุดการเข้ารหัสที่รัดกุมยิ่งขึ้น WPA3 มี 2 ส่วนดังนี้

• WPA3-Personal: ใช้การตรวจสอบสิทธิ์พร้อมกันของเท่ากับ (SAE) แทนคีย์ที่แชร์ล่วงหน้า (PSK) ทำให้ผู้ใช้มีความปลอดภัยมากขึ้น การป้องกันการโจมตี เช่น การโจมตีพจนานุกรมออฟไลน์ คีย์ การกู้คืน และการปลอมข้อความ
• WPA3-Enterprise: มีการตรวจสอบสิทธิ์และเลเยอร์ลิงก์ที่รัดกุมกว่า วิธีการเข้ารหัส และโหมดความปลอดภัย 192 บิตที่ไม่บังคับสำหรับ ด้านความปลอดภัย

Wi-Fi Enhanced Open เป็นมาตรฐานความปลอดภัย WFA ใหม่สำหรับสาธารณะ เครือข่ายที่ใช้การเข้ารหัสแบบ Opportunism Wireless (OWE) ซึ่งมี การเข้ารหัสและความเป็นส่วนตัวบนเครือข่ายแบบเปิดที่ไม่มีการป้องกันด้วยรหัสผ่านในพื้นที่ต่างๆ เช่น คาเฟ่ โรงแรม ร้านอาหาร และห้องสมุด ส่วนแบบเปิดแบบเพิ่มประสิทธิภาพไม่มี การตรวจสอบสิทธิ์

WPA3 และ Wi-Fi Enhanced Open ปรับปรุงการรักษาความปลอดภัย Wi-Fi โดยรวมให้ดียิ่งขึ้น ความเป็นส่วนตัวและความเข้มแข็งสำหรับการโจมตีที่รู้จัก เนื่องจากมีอุปกรณ์จำนวนมากที่ยังไม่รองรับ มาตรฐานเหล่านี้หรือยังไม่มีการอัปเกรดซอฟต์แวร์ เพื่อรองรับคุณลักษณะเหล่านี้ WFA ได้เสนอโหมดการเปลี่ยนดังต่อไปนี้

• โหมดการเปลี่ยน WPA2/WPA3: จุดเข้าใช้งานที่ให้บริการรองรับ WPA2 และ ใช้มาตรฐาน WPA3 พร้อมกัน ในโหมดนี้ Android อุปกรณ์ 10 เครื่องใช้ WPA3 ในการเชื่อมต่อ และ ใช้ Android 9 หรือต่ำกว่า ให้ใช้ WPA2 เพื่อเชื่อมต่อกับจุดเข้าใช้งานเดียวกัน
• โหมดการเปลี่ยน WPA2/WPA3-Enterprise: จุดเข้าใช้งานที่ให้บริการ รองรับมาตรฐาน WPA2-Enterprise และ WPA3-Enterprise พร้อมกัน
• โหมดการเปลี่ยน OWE: จุดเข้าใช้งานที่ให้บริการรองรับทั้ง OWE และเปิด พร้อมกัน ในโหมดนี้ Android 10 อุปกรณ์จะใช้ OWE ในการเชื่อมต่อ และอุปกรณ์ที่ใช้ Android 9 หรือต่ำกว่าจะเชื่อมต่อได้ ไปยังจุดเข้าใช้งานเดียวกันโดยไม่มีการเข้ารหัส

Android 12 รองรับสัญญาณบอกสถานะปิดใช้การเปลี่ยน ซึ่งเป็นกลไกที่สั่งอุปกรณ์ไม่ให้ใช้ WPA2 และใช้ WPA3 แทน เมื่ออุปกรณ์ได้รับสัญญาณบอกสถานะนี้ อุปกรณ์จะใช้ WPA3 เพื่อเชื่อมต่อกับ WPA3 เครือข่ายที่สนับสนุนโหมดการเปลี่ยน Android 12 นอกจากนี้ยังรองรับการแลกเปลี่ยนการตรวจสอบสิทธิ์ WPA3 Hash-to-Element (H2E) ด้วย สำหรับข้อมูลเพิ่มเติม โปรดดู ข้อกำหนด WPA3

WPA3 และ Wi-Fi Enhanced Open ได้รับการสนับสนุนในโหมดไคลเอ็นต์เท่านั้น

การใช้งาน

ใช้อินเทอร์เฟซ HAL ของผู้สมัครเพื่อให้รองรับ WPA3 และ Wi-Fi Enhanced Open ตั้งแต่ Android 13 เป็นต้นไป อินเทอร์เฟซจะใช้ AIDL เพื่อหาคำจำกัดความ HAL สำหรับรุ่นก่อน Android 13 ส่วนอินเทอร์เฟซและพาร์ติชันผู้ให้บริการใช้ HIDL คุณสามารถดูอินเทอร์เฟซ HIDL ได้ใน hardware/interfaces/wifi/supplicant/1.3/ และดูอินเทอร์เฟซ AIDL ได้ใน hardware/interfaces/wifi/supplicant/aidl/

ต้องมีรายการต่อไปนี้เพื่อรองรับ WPA3 และ OWE

• แพตช์เคอร์เนลของ Linux เพื่อรองรับ SAE และ OWE

  • cfg80211
  • Nl80211

• wpa_supplicant พร้อมรองรับ SAE, SUITEB192 และ OWE

• ไดรเวอร์ Wi-Fi ที่รองรับ SAE, SUITEB192 และ OWE

• เฟิร์มแวร์ Wi-Fi ที่รองรับ SAE, SUITEB192 และ OWE

• ชิป Wi-Fi ที่รองรับ WPA3 และ OWE

เมธอด API สาธารณะพร้อมใช้งานใน Android 10 เพื่ออนุญาต แอปต่อไปนี้เพื่อกำหนดการรองรับอุปกรณ์สำหรับฟีเจอร์เหล่านี้

• WifiManager#isWpa3SaeSupported
• WifiManager#isWpa3SuiteBSupported
• WifiManager#isEnhancedOpenSupported

WifiConfiguration.java มีประเภทการจัดการคีย์ใหม่ๆ ตลอดจนการเข้ารหัส Pairwise การเข้ารหัสกลุ่ม การเข้ารหัสการจัดการกลุ่ม และการเข้ารหัส Suite B ซึ่งจำเป็นสำหรับ OWE WPA3-Personal และ WPA3-Enterprise

เปิดใช้ WPA3 และ Wi-Fi Enhanced Open

วิธีเปิดใช้ WPA3-Personal, WPA3-Enterprise และ Wi-Fi Enhanced Open ใน Android เฟรมเวิร์ก:

• WPA3-Personal: รวมตัวเลือกการคอมไพล์ CONFIG_SAE ไว้ในส่วน wpa_supplicant ไฟล์การกำหนดค่า

  # WPA3-Personal (SAE)
  CONFIG_SAE=y
  

• WPA3-Enterprise: รวม CONFIG_SUITEB192 และ CONFIG_SUITEB ตัวเลือกคอมไพล์ในไฟล์การกำหนดค่า wpa_supplicant

  # WPA3-Enterprise (SuiteB-192)
  CONFIG_SUITEB=y
  CONFIG_SUITEB192=y
  

• Wi-Fi Enhanced Open: รวมตัวเลือกการคอมไพล์ CONFIG_OWE ใน wpa_supplicant

  # Opportunistic Wireless Encryption (OWE)
  # Experimental implementation of draft-harkins-owe-07.txt
  CONFIG_OWE=y
  

หากไม่ได้เปิดใช้ WPA3-Personal, WPA3-Enterprise หรือ Wi-Fi Enhanced Open ผู้ใช้จะเปิดใช้ จะไม่สามารถเพิ่ม สแกน หรือเชื่อมต่อกับเครือข่ายประเภทนี้ด้วยตนเอง

การตรวจสอบความถูกต้อง

หากต้องการทดสอบการใช้งาน ให้ทำการทดสอบต่อไปนี้

การทดสอบ 1 หน่วย

เรียกใช้ SupplicantStaIfaceHalTest เพื่อตรวจสอบลักษณะการทำงานของแฟล็กความสามารถสำหรับ WPA3 และ OWE

atest SupplicantStaIfaceHalTest

เรียกใช้ WifiManagerTest เพื่อยืนยันลักษณะการทำงานของ API สาธารณะสำหรับฟีเจอร์นี้

atest WifiManagerTest

การทดสอบ VTS

หากใช้อินเทอร์เฟซ HIDL ให้เรียกใช้

atest VtsHalWifiSupplicantV1_3TargetTest

หากใช้อินเทอร์เฟซ AIDL ให้เรียกใช้

atest VtsHalWifiSupplicantStaIfaceTargetTest