WPA3 und Wi-Fi Enhanced Open

Mit Android 10 werden nun auch die Wi-Fi Protected Access Version 3 (WPA3) und Wi-Fi Enhanced Open zu entwickeln. Weitere Informationen finden Sie unter Sicherheit auf der WFA-Website

WPA3 ist ein neuer WFA-Sicherheitsstandard für Privat- und Unternehmenskunden Netzwerken. Ziel ist es, die WLAN-Sicherheit insgesamt durch moderne Sicherheitsfunktionen zu verbessern. und stärkere Cipher Suites. WPA3 besteht aus zwei Teilen:

  • WPA3-Personal:Verwendet die gleichzeitige Authentifizierung von Gleichheitszeichen (SAE) statt eines vorinstallierten Schlüssels (Pre-Shared Key, PSK) und erhöht so die Sicherheit der Nutzer. Schutz vor Angriffen wie Offline-Wörterbuchangriffen, und das Fälschen von Nachrichten.
  • WPA3-Enterprise:Bietet eine bessere Authentifizierung und Linkebene. Verschlüsselungsmethoden und einen optionalen 192-Bit-Sicherheitsmodus für sensible Sicherheitsumgebungen.

Wi-Fi Enhanced Open ist ein neuer WFA-Sicherheitsstandard für öffentliche auf opportunistischem Wireless Encryption (OWE) basiert. Sie bietet Verschlüsselung und Datenschutz in offenen, nicht passwortgeschützten Netzwerken wie Cafés, Hotels, Restaurants und Bibliotheken. Erweitertes Öffnen bietet keine Authentifizierung.

WPA3 und Wi-Fi Enhanced Open verbessern die WLAN-Sicherheit insgesamt und Datenschutz und Robustheit gegen bekannte Angriffe. Viele Geräte unterstützen noch keine oder noch keine Software-Upgrades zur Unterstützung dieser Funktionen hatten, WFA hat die folgenden Übergangsmodi vorgeschlagen:

  • WPA2/WPA3 Transition Mode:Der Bereitstellungszugriffspunkt unterstützt WPA2 und WPA3. Gleichzeitige WPA3-Standards. In diesem Modus erkennt Android 10 Geräte verwenden WPA3 für die Verbindung und Geräte mit Android 9 oder niedriger, verwenden Sie WPA2, um eine Verbindung zum selben Zugangspunkt herzustellen.
  • WPA2/WPA3-Enterprise Transition-Modus:Der Bereitstellungszugriffspunkt. unterstützt gleichzeitig WPA2-Enterprise und WPA3-Enterprise.
  • OWE-Übergangsmodus:Der Bereitstellungszugriffspunkt unterstützt sowohl OWE als auch offene gleichzeitig zu arbeiten. In diesem Modus erkennt Android 10 Geräte verwenden für die Verbindung OWE, Geräte mit Android 9 oder niedriger und zwar ohne Verschlüsselung.

Android 12 unterstützt die Benachrichtigung „Übergang deaktivieren“, einen Mechanismus, der ein Gerät anweist, nicht WPA2, sondern WPA3 zu verwenden. Wenn ein Gerät diese Meldung erhält, verwendet es WPA3, um eine Verbindung zu einem WPA3-Gerät herzustellen. Netzwerk, das einen Übergangsmodus unterstützt. Android 12 unterstützt auch den H2E-Authentifizierungsaustausch (WPA3 Hash-to-Element). Weitere Informationen finden Sie in der WPA3-Spezifikation.

WPA3 und Wi-Fi Enhanced Open werden nur im Clientmodus unterstützt.

Implementierung

Implementieren Sie die Supplicant HAL-Schnittstelle, um WPA3 und Wi-Fi Enhanced Open zu unterstützen. Ab Android 13 Die Schnittstelle verwendet AIDL für die HAL-Definition. Bei Releases vor Android 13 Schnittstellen und Anbieterpartitionen verwenden HIDL. Die HIDL-Schnittstelle finden Sie hardware/interfaces/wifi/supplicant/1.3/, und die AIDL-Schnittstelle finden Sie hardware/interfaces/wifi/supplicant/aidl/

Folgendes ist zur Unterstützung von WPA3 und OWE erforderlich:

  • Linux-Kernel-Patches zur Unterstützung von SAE und OWE

    • cfg80211
    • Nl80211
  • wpa_supplicant mit Unterstützung für SAE, SUITEB192 und OWE

  • WLAN-Treiber mit Unterstützung für SAE, SUITEB192 und OWE

  • WLAN-Firmware mit Unterstützung für SAE, SUITEB192 und OWE

  • WLAN-Chip mit Unterstützung für WPA3 und OWE

Öffentliche API-Methoden sind in Android 10 verfügbar, um Apps, um die Geräteunterstützung für diese Funktionen zu bestimmen:

WifiConfiguration.java neue Schlüsselverwaltungstypen sowie paarweise und Gruppenchiffren, Gruppenmanagement-Chiffren und Suite-B-Chiffren, die für OWE erforderlich sind, WPA3-Personal und WPA3-Enterprise.

WPA3 und Wi-Fi Enhanced Open aktivieren

So aktivieren Sie WPA3-Personal, WPA3-Enterprise und Wi-Fi Enhanced Open in Android Framework:

  • WPA3-Personal: Fügen Sie die Kompilierungsoption CONFIG_SAE in den wpa_supplicant-Konfigurationsdatei.

    # WPA3-Personal (SAE)
    CONFIG_SAE=y
    
  • WPA3-Enterprise: Fügen Sie CONFIG_SUITEB192 und CONFIG_SUITEB hinzu. Kompilierungsoptionen in der Konfigurationsdatei wpa_supplicant.

    # WPA3-Enterprise (SuiteB-192)
    CONFIG_SUITEB=y
    CONFIG_SUITEB192=y
    
  • Wi-Fi Enhanced Open: Fügen Sie die Kompilierungsoption CONFIG_OWE in die Konfigurationsdatei wpa_supplicant.

    # Opportunistic Wireless Encryption (OWE)
    # Experimental implementation of draft-harkins-owe-07.txt
    CONFIG_OWE=y
    

Wenn WPA3-Personal, WPA3-Enterprise oder Wi-Fi Enhanced Open nicht aktiviert sind, können solche Netzwerke jedoch nicht manuell hinzufügen, scannen oder sich damit verbinden.

Zertifizierungsstufe

Führe die folgenden Tests aus, um deine Implementierung zu testen.

Einheitentests

Ausführen SupplicantStaIfaceHalTest um das Verhalten der Funktions-Flags für WPA3 und OWE zu überprüfen.

atest SupplicantStaIfaceHalTest

Ausführen WifiManagerTest um das Verhalten der öffentlichen APIs für diese Funktion zu überprüfen.

atest WifiManagerTest

VTS-Tests

Wenn die HIDL-Schnittstelle implementiert ist, führe folgenden Befehl aus:

atest VtsHalWifiSupplicantV1_3TargetTest

Wenn die AIDL-Schnittstelle implementiert ist, führen Sie Folgendes aus:

atest VtsHalWifiSupplicantStaIfaceTargetTest