WPA3 voor eduroam en govroam
Onlangs is door de WiFi Alliance de Wi-Fi CERTIFIED WPA3™ security officieel gereleased. Op 26 juni heeft Géant Asssociation* hierover een advies uitgebracht m.b.t. eduroam. Met deze nieuwsbrief informeren wij u als govroam-deelnemer over dit advies. Over de impact en keuzes voor govroam zal dit najaar worden bericht nadat hierover is gesproken met de gebruiksraad van govroam.
*Géant Association coördineert de samenwerking in Europa rond eduroam, de wifi-toegangsdienst voor onderwijs- en onderzoeksinstellingen. De technische opzet van govroam is grotendeels gelijk aan die van eduroam.
Wat verandert er?
De grootste verandering zit in PSK-netwerken; die zijn veiliger geworden door Simultaneous Authentication of Equals (SAE). Maar dit is met name een verbetering voor thuisgebruik. En biedt dus niet de beveiliging, schaalbaarheid en het gemak van eduroam en govroam.
Voor WPA-Enterprise zoals in gebruik bij govroam en eduroam verandert er niet zoveel; de best practices van WPA2-Enterprise maken ook nu onderdeel uit van WPA3-Enterprise, waardoor er bescherming is tegen KRACK en ondersteuning voor PMF (Protected Management Frames). Voor backwards compatibility zou deze op supported moeten staan in plaats van required.
Net als voor WPA2-Enterprise wordt sterk geadviseerd om de EAP-servercertificaten te valideren op de clients; maar dat is niet verplicht. Dit is met name een aandachtspunt voor Android-clients, omdat het daar te gemakkelijk te negeren is. Dit verandert dus niet.
De enige aanpassing voor een eduroam hotspot zou dan ‘PMF supported’ zijn. Dit wordt binnen eduroam nog niet verplicht gesteld. Op enig moment zal hierover nader besloten worden. Govroam houdt u hiervan op de hoogte.
Er is ook een 192-bit operation mode voor WPA3-Enterprise, maar deze is niet compatibel met eduroam. De reden daarvoor is dat het niet alleen bij 192-bit blijft, maar het ook ingrijpt in de requirements van de EAP-authenticatie, waardoor alle EAP IdPs vastzitten aan een specifieke versie `van de cipher suites en key lengths.
Meer informatie?
Voor eduroam is er een officiele advisory over WPA3 die bovenstaande beschrijft, te vinden op www.eduroam.org.
