The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск hostapd и wpa_supplicant 2.7

14.12.2018 20:57

После двух лет разработки подготовлен выпуск hostapd/wpa_supplicant 2.7, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.

Основные новшества:

  • Добавлена поддержка метода быстрой настройки соединения FILS (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai), позволяющего избавиться от задержек при роуминге во время миграции от одной точки доступа к другой;
  • Добавлена поддержка метода согласования соединения OWE (Opportunistic Wireless Encryption, RFC 8110) для генерации ключей шифрования в открытых сетях. Расширение OWE задействовано в стандарте WPA3 для шифрования всех потоков данных между клиентом и точкой доступа в общедоступных публичных беспроводных сетях, не требующих аутентификации;
  • Добавлена поддержка протокола DPP (Wi-Fi Device Provisioning Protocol), определяющего метод аутентификации по открытым ключам, задействованный в стандарте WPA3 для организации упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе;
  • Устранена группа уязвимостей, связанных с атакой KRACK (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа;
  • Удалён код, связанный с поддержкой механизма PeerKey (скомпрометирован и подвержен атаке KRACK);
  • Добавлена возможность использования криптографической библиотеки wolfSSL и обеспечена совместимость с выпуском OpenSSL 1.1.1;
  • В EAP-pwd добавлена возможность использования соли при хэшировании паролей;
  • Улучшения, специфичные для hostapd:
    • Переработана реализация технологии быстрого роуминга FT (Fast Transition, IEEE 802.11r), позволяющая переключаться между точками доступа по мере перемещения. Добавлена поддержка IEEE VLAN, SHA384, локальной генерации PMK-R0/PMK-R1 для FT-PSK, масок R0KH/R1KH и возможность задания времени жизни в кэше PMK-R0 и PMK-R1;
    • Улучшен реализация протокола аутентификации и создания ключей SAE (Simultaneous Authentication of Equals), предоставляющего более защищённый метод аутентификации на основе паролей. Добавлена возможность настройки отдельного пароля для SAE, не пересекающегося с паролем WPA2. Добавлена настройка "sae_require_pmf" для обязательного применения MFP для SAE. Добавлена поддержка PI (Password Identifier);
    • В интерфейс командной строки (hostapd_cli) добавлена возможность просмотра истории введённых команд и автодополнения ввода;
    • Добавлены опции для ограничения интенсивности обновления ключей EAPOL (wpa_group_update_count и wpa_pairwise_update_count);
    • В реализацию стандарта Hotspot 2.0 добавлена возможность настройки ссылки на провайдера (venue_url), определения документа с условиями использования, подключения в режиме роуминга и установки OSEN-соединений;
  • Улучшения, специфичные для wpa_supplicant:
    • Добавлена поддержка 3072-битных ключей RSA с 192-битной криптографией NSA Suite B;
    • В реализации стандарта IEEE 802.1AE (MACsec) предложен новый драйвер macsec_linux, предоставляющий интерфейс к модулю ядра Linux macsec;
    • Добавлена возможность использования для кэша PMKSA постоянных внешних хранилищ;
    • Добавлена поддержка рандомизации локального MAC-адреса для запросов GAS (параметр gas_rand_mac_addr);
    • Добавлена опция auto_uuid для использования случайного WPS UUID;
    • Добавлена поддержка использования хэша SHA256 при сравнении сертификатов OCSP;
    • Добавлен параметр group_mgm для настройки наборов шифров, разрешённых для управления группами;
    • Для режима AP (точка доступа) добавлена настройка ap_isolate;
    • В netlink-интерфейсе nl80211 добавлена поддержка выноса обработки операций 4-стороннего согласования соединения на плечи драйвера;
    • В реализации FT (Fast Transition) добавлена поддержка SHA384 и шифров BIP-CMAC-256, BIP-GMAC-128 и BIP-GMAC-256 в дополнение к BIP-CMAC-128.


  1. Главная ссылка к новости (http://lists.infradead.org/pip...)
  2. OpenNews: Атака против WPA2, позволяющая перехватить трафик в WiFi-сети
  3. OpenNews: Критическая уязвимость в wpa_supplicant, компоненте для подключения к беспроводным сетям
  4. OpenNews: Опубликована технология защиты беспроводных сетей WPA3
  5. OpenNews: Новая техника атаки на беспроводные сети с WPA2
  6. OpenNews: Релиз hostapd/wpa_supplicant 2.0, отныне поставляемый только под лицензией BSD
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wpa_supplican, wifi, hostapd
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.15, Аноним (15), 04:54, 15/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Вот так конкуренция способствует прогрессу. Вышел на сцену iwd и зашевелились со своим легаси-говном.
     
     
  • 2.19, Аноним (19), 13:27, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ссылочку можно на iwd, а то поиск выдаёт всё не связанное с IT.
     
     
  • 3.20, Аноним (20), 14:06, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нужно грамотно формулировать запрос, а то гугловский поисковый искусственный интеллект тебя не понимает

    попробуй так:
    linux iwd

     
  • 3.21, Аноним (21), 14:16, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Люди, какие же вы ленивые
    https://wiki.archlinux.org/index.php/Iwd
     
     
  • 4.22, Аноним (22), 15:58, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А ты уже купил кота ?
     
  • 2.23, пох (?), 16:09, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +8 +/
    ничего что "легаси г-но" двадцать лет снабжает нас wifi без милостыни от интела, а большинство действительно интересных (хотя и чреватых очередной порцией дыр, учитывая обычное качество кода этих ребят и общую переусложненность ненужно-протоколов) вещей - в hostapd, к которому интеловская поделка вообще никаким боком?
     
     
  • 3.24, Аноним (24), 17:46, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    "Legacy г-но не нужно , даже если оно работает и весь мир им пользоюется . Нам - экспертам лучше знать и все нас должны слушать"
    Ваши Диванные Эксперты с opennet
     
     
  • 4.25, нах (?), 18:25, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    К сожалению, помимо диванных экспертов, примерно так же думает большая часть модных-современных разработчиков, в особенности дорвавшихся до кормушек.

     
     
  • 5.27, Аноним (27), 07:57, 16/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вам лишь бы зудеть, аки бабки у подъезда. Всегда есть андеграунд, где теплится деловитая и хакерская деятельность, независимая от корпораций. Именно эти очаги являются зародышами всего нового и мейнстримного в будущем. Есть void, ребята, там почти всё идеально. Есть GuixSD. Развивайте и используйте свои идеи, нечего на корпорации пинать. Оставьте убунты школоте и криворуким админам.
     
     
  • 6.28, Аноним (28), 01:03, 17/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Бабки у подъезда, есть очаги потребности легаси;
    50 лет работало, и тут приперлись молодые-модные c кнопочными телефонами, а им и с дисковыми хорошо.

    А криворукие одмины есть золотая середина, которые за свои 20к в месяц прогресс вперед может и не толкают, зато волокут вслед за ним _его_жирные_жо_ тех самых бабок, так что им еще молоко надо выдавать за вредность.

     
  • 4.26, Аноним (26), 20:33, 15/12/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не не, диванным экспертам как раз wifi очень нужен (до дивана). Тут явно кто-то из сословия офисных  к ним примазался
     
     
  • 5.30, нах (?), 18:11, 17/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    всьо норм, в их божественной десяточке wifi работает.
    Правда, в их не-такой-как-у-всех точке доступа с божественным openwrt (пять лет без апдейтов), не каким-то там проприетарным г-ном, все тот же hostapd, но они об этом не в курсе, поэтому бодро крякают.

     
  • 2.29, Аноним (29), 08:29, 17/12/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему зашевелились? У них и не прекращался прогресс. wpa_supplicant/hostapd даже на некоторые микроконтроллеры портирован, потому что он универсален и не так уж плох. В то же время iwd - прибитое гвоздями к линуксу поделие, продвигаемое одной корпорацией.
     

  • 1.31, Эстет (?), 22:00, 17/12/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Больше всего в wpa_supplicant бесит нижнее подчеркивание в наименовании.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру