eduroam e Wi-Fi CERTIFIED WPA
Il 25 Giugno 2018, Wi-Fi Alliance ha annunciato l'introduzione di Wi-Fi CERTIFIED WPA3 finalizzato a rendere più sicure le reti wireless personali (WPA3-Personal) ed enterprise (WPA3-Enterprise).
WPA3-Personal
WPA3-Personal modifica l'algoritmo con cui viene derivata la chiave di sessione.
Tali modifiche non hanno impatto su eduroam.
WPA3-Enterprise
WPA3-Enterprise include, invece, un roll-up di diverse aggiunte rispetto alla WPA2-Enterprise. Ciò garantisce che i dispositivi certificati WPA3-Enterprise:
- sono immuni alla vulnerabilità KRACK
- supportano il Protected Management Frames (PMF)
- convalidano il certificato server su una Certificate Authority radice (se facoltativamente configurato)
Viene inoltre richiesto il supporto ai PMFs.
Una rete WPA3-Enterprise è di fatto identica ad una rete WPA2-Enterprise con il supporto ai PMFs configurato. Pertanto finché i PMFs sono configurati come supportati, invece che come richiesti, i dispositivi WPA2 più datati possono continuare a collegarsi alla rete WPA3-Enterprise come se fosse una normale rete WPA2.
La compatibilità con WPA1, invece, non è più supportata, il che non dovrebbe avere impatti significativi in eduroam.
Date le premesse, per attivare una rete WPA3-Enterprise è sufficiente disabilitare il supporto a WPA1 e abilitare il PMF come supportato ma non richiesto. Al momento infatti, è prematuro richiedere obbligatoriamente il supporto PMF considerata l'ampia platea di dispositivi che si collegano ad eduroam.
WPA3-Enterprise con sicurezza a 192 bit
WPA3-Enterpise introduce una nuova modalità opzionale denominata WPA3-Enterprise con Sicurezza a 192 bit che, sebbene si basi su EAP come una normale rete WPA3-Enterprise, introduce una serie di vincoli sui cifrari da utilizzare e sulla lunghezza delle chiavi.
Poiché WPA3-Enterprise con Sicurezza a 192 bit deve essere configurato sugli Access Point ma necessita di un server RADIUS lato Identity Provider che sia compatibile, c'è un evidente rischio per l'interoperabilità all'interno della federazione. Infatti recenti studi indicano che tali requisiti non sono soddisfatti dalla maggior parte degli Identity Provider eduroam.
Pertanto al momento si raccomanda ai Service Provider eduroam di NON CONFIGURARE WPA3-Enterprise con Sicurezza a 192 bit.
Leggi annuncio Maggiori Informazioni