WPA3 และ Wi-Fi Enhanced Open

Android 10 แนะนำการรองรับ Wi-Fi Alliance's (WFA) Wi-Fi Protected Access เวอร์ชัน 3 (WPA3) และมาตรฐาน Wi-Fi Enhanced Open สำหรับข้อมูลเพิ่มเติม โปรดดูที่ ความปลอดภัย บนไซต์ WFA

WPA3 เป็นมาตรฐานความปลอดภัย WFA ใหม่สำหรับเครือข่ายส่วนบุคคลและองค์กร มีจุดมุ่งหมายเพื่อปรับปรุงความปลอดภัย Wi-Fi โดยรวมโดยใช้อัลกอริธึมการรักษาความปลอดภัยที่ทันสมัยและชุดรหัสที่แรงกว่า WPA3 มีสองส่วน:

  • WPA3-Personal: ใช้การรับรองความถูกต้องพร้อมกันของเท่ากับ (SAE) แทน pre-shared key (PSK) ทำให้ผู้ใช้มีการป้องกันความปลอดภัยที่แข็งแกร่งยิ่งขึ้นจากการโจมตี เช่น การโจมตีพจนานุกรมออฟไลน์ การกู้คืนคีย์ และการปลอมแปลงข้อความ
  • WPA3-Enterprise: มอบการรับรองความถูกต้องที่รัดกุมยิ่งขึ้นและวิธีการเข้ารหัสแบบลิงค์เลเยอร์ และโหมดความปลอดภัย 192 บิตที่เป็นตัวเลือกสำหรับสภาพแวดล้อมการรักษาความปลอดภัยที่ละเอียดอ่อน

Wi-Fi Enhanced Open เป็นมาตรฐานความปลอดภัย WFA ใหม่สำหรับเครือข่ายสาธารณะโดยอิงตามการเข้ารหัสไร้สายตามโอกาส (OWE) ให้การเข้ารหัสและความเป็นส่วนตัวบนเครือข่ายแบบเปิดที่ไม่มีการป้องกันด้วยรหัสผ่านในพื้นที่ต่างๆ เช่น ร้านกาแฟ โรงแรม ร้านอาหาร และห้องสมุด Enhanced Open ไม่มีการรับรองความถูกต้อง

WPA3 และ Wi-Fi Enhanced Open ปรับปรุงความปลอดภัยโดยรวมของ Wi-Fi ให้ความเป็นส่วนตัวและความทนทานต่อการโจมตีที่รู้จัก เนื่องจากอุปกรณ์จำนวนมากยังไม่รองรับมาตรฐานเหล่านี้หรือยังไม่ได้อัปเกรดซอฟต์แวร์เพื่อรองรับคุณสมบัติเหล่านี้ WFA จึงเสนอโหมดการเปลี่ยนแปลงต่อไปนี้:

  • โหมดการเปลี่ยน WPA2/WPA3: จุดเชื่อมต่อที่ให้บริการรองรับมาตรฐาน WPA2 และ WPA3 พร้อมกัน ในโหมดนี้ อุปกรณ์ Android 10 ใช้ WPA3 ในการเชื่อมต่อ และอุปกรณ์ที่ใช้ Android 9 หรือต่ำกว่าจะใช้ WPA2 เพื่อเชื่อมต่อกับจุดเชื่อมต่อเดียวกัน
  • โหมดการเปลี่ยนแปลง WPA2/WPA3-Enterprise: จุดเชื่อมต่อที่ให้บริการรองรับมาตรฐาน WPA2-Enterprise และ WPA3-Enterprise พร้อมกัน
  • โหมดการเปลี่ยน OWE: จุดเชื่อมต่อที่ให้บริการรองรับทั้งมาตรฐาน OWE และมาตรฐานเปิดพร้อมกัน ในโหมดนี้ อุปกรณ์ Android 10 ใช้ OWE ในการเชื่อมต่อ และอุปกรณ์ที่ใช้ Android 9 หรือต่ำกว่าจะเชื่อมต่อกับจุดเชื่อมต่อเดียวกันโดยไม่มีการเข้ารหัสใดๆ

Android 12 รองรับการบ่งชี้การเปลี่ยนการปิดใช้งาน ซึ่งเป็นกลไกที่สั่งให้อุปกรณ์ไม่ใช้ WPA2 และใช้ WPA3 แทน เมื่ออุปกรณ์ได้รับการบ่งชี้นี้ อุปกรณ์จะใช้ WPA3 เพื่อเชื่อมต่อกับเครือข่าย WPA3 ที่รองรับโหมดการเปลี่ยนแปลง Android 12 ยังรองรับการแลกเปลี่ยนการตรวจสอบ WPA3 Hash-to-Element (H2E) สำหรับข้อมูลเพิ่มเติม โปรดดู ข้อมูลจำเพาะ WPA3

รองรับ WPA3 และ Wi-Fi Enhanced Open ในโหมดไคลเอนต์เท่านั้น

การดำเนินการ

เพื่อรองรับ WPA3 และ Wi-Fi Enhanced Open ให้ใช้อินเทอร์เฟซ Supplicant HAL เริ่มต้นด้วย Android 13 อินเทอร์เฟซใช้ AIDL สำหรับคำจำกัดความของ HAL สำหรับรุ่นก่อน Android 13 อินเทอร์เฟซและพาร์ติชันผู้ขายใช้ HIDL อินเทอร์เฟซ HIDL สามารถพบได้ใน hardware/interfaces/wifi/supplicant/1.3/ และอินเทอร์เฟซ AIDL สามารถพบได้ใน hardware/interfaces/wifi/supplicant/aidl/ ,

สิ่งต่อไปนี้จำเป็นสำหรับการรองรับ WPA3 และ OWE:

  • แพทช์เคอร์เนล Linux เพื่อรองรับ SAE และ OWE

    • cfg80211
    • nl80211
  • wpa_supplicant พร้อมรองรับ SAE, SUITEB192 และ OWE

  • ไดรเวอร์ Wi-Fi พร้อมรองรับ SAE, SUITEB192 และ OWE

  • เฟิร์มแวร์ Wi-Fi พร้อมรองรับ SAE, SUITEB192 และ OWE

  • ชิป Wi-Fi พร้อมรองรับ WPA3 และ OWE

วิธีการ API สาธารณะมีอยู่ใน Android 10 เพื่อให้แอปพิจารณาการสนับสนุนอุปกรณ์สำหรับคุณสมบัติเหล่านี้:

WifiConfiguration.java มีประเภทการจัดการคีย์ใหม่ เช่นเดียวกับการเข้ารหัสแบบคู่ การเข้ารหัสกลุ่ม การเข้ารหัสการจัดการกลุ่ม และการเข้ารหัส Suite B ซึ่งจำเป็นสำหรับ OWE, WPA3-Personal และ WPA3-Enterprise

การเปิดใช้งาน WPA3 และ Wi-Fi Enhanced Open

ในการเปิดใช้งาน WPA3-Personal, WPA3-Enterprise และ Wi-Fi Enhanced Open ในเฟรมเวิร์ก Android:

  • WPA3-Personal: รวมตัวเลือกการคอมไพล์ CONFIG_SAE ใน ไฟล์คอนฟิกูเรชัน wpa_supplicant

    # WPA3-Personal (SAE)
    CONFIG_SAE=y
    
  • WPA3-Enterprise: รวมตัวเลือกการคอมไพล์ CONFIG_SUITEB192 และ CONFIG_SUITEB ในไฟล์คอนฟิกูเรชัน wpa_supplicant

    # WPA3-Enterprise (SuiteB-192)
    CONFIG_SUITEB=y
    CONFIG_SUITEB192=y
    
  • Wi-Fi Enhanced Open: รวมตัวเลือกการคอมไพล์ CONFIG_OWE ในไฟล์คอนฟิกูเรชัน wpa_supplicant

    # Opportunistic Wireless Encryption (OWE)
    # Experimental implementation of draft-harkins-owe-07.txt
    CONFIG_OWE=y
    

หากไม่ได้เปิดใช้งาน WPA3-Personal, WPA3-Enterprise หรือ Wi-Fi Enhanced Open ผู้ใช้จะไม่สามารถเพิ่ม สแกน หรือเชื่อมต่อกับเครือข่ายประเภทนี้ด้วยตนเองได้

การตรวจสอบ

หากต้องการทดสอบการใช้งานของคุณ ให้รันการทดสอบต่อไปนี้

การทดสอบหน่วย

เรียกใช้ SupplicantStaIfaceHalTest เพื่อตรวจสอบพฤติกรรมของแฟล็กความสามารถสำหรับ WPA3 และ OWE

atest SupplicantStaIfaceHalTest

เรียกใช้ WifiManagerTest เพื่อตรวจสอบพฤติกรรมของ API สาธารณะสำหรับฟีเจอร์นี้

atest WifiManagerTest

การทดสอบบูรณาการ (ACTS)

หากต้องการเรียกใช้การทดสอบการผสานรวม ให้ใช้ไฟล์ Android Comms Test Suite (ACTS) WifiWpa3OweTest.py ซึ่งอยู่ใน tools/test/connectivity/acts_tests/tests/google/wifi

การทดสอบ VTS

หากใช้อินเทอร์เฟซ HIDL ให้เรียกใช้:

atest VtsHalWifiSupplicantV1_3TargetTest

หากใช้งานอินเทอร์เฟซ AIDL ให้เรียกใช้:

atest VtsHalWifiSupplicantStaIfaceTargetTest