Auch wenn das in den letzten vier Tagen überall gehyped wird ... das Thema "WPA3" ist bereits mehrere Jahre alt, viele Vorschläge lagen auch schon sehr lange schon auf dem Tisch (z.B. mal
hier bei heise. de nachzulesen, in einem Beitrag aus 2015, der in Kürze drei Jahre alt wird und schon da war es praktisch derselbe Inhalt bzw. dieselben Änderungen, die damals diskutiert wurden, wenn sich nicht schlagartig noch etwas geändert haben sollte an der "final version") und das einzig Überraschende ist, wie flink die WFA es nach KRACK geschafft hat, den neuen Standard auch wirklich zu verabschieden - wobei ich immer noch nicht richtig durchsehe, ob das nun "published" oder "announced" ist.
Zuvor hat man sich halt zieeemlich viel Zeit gelassen, weil ja WPA2 keine (bekannte) prinzipielle Schwäche hatte - das hat sich offenbar irgendwie seit dem Herbst 2017 verändert (ich habe da etwas in Erinnerung).
Wenn die WFA bei dem Tamtam, was man jetzt um die
finale Veröffentlichung von WPA3 macht, dazugeschrieben hätte, wie lange das schon in der Schublade vor sich hinschmorte und doch nicht zur offiziellen Verabschiedung als neuer Standard kam, dann würden sich vielleicht auch nicht die ganzen News-Repeater-Services im Internet in ihrer Echo-Kammer dermaßen überschlagen ... die Trefferanzahl zu WPA3 hat sich praktisch seit vier Tagen exponentiell erhöht und bei den Gründen, Zeiträumen und Motiven schreibt auch jeder etwas anderes ... aber praktisch in jedem neuen Artikel zum Thema steht, daß WPA3 nach KRACK als
die Antwort entstanden wäre, was man schon dadurch leicht als falsch "entlarven" kann, daß man einfach mal die Suchmaschinen nach Ergebnissen zu "WPA3"
vor dem Jahr 2018 befragt.
Dann klärt sich vielleicht auch auf, wieso man noch für dieses Jahr erste Produkte mit WPA3 ankündigen kann ... ein wirklich objektiver Artikel, der auch deutlich macht, was sich tatsächlich ändert, ist z.B. dieser:
https://www.darkreading.com/endpoin...2-enhancements-and-debuts-wpa3/d/d-id/1330762
Im Prinzip erzwingt der neue Standard an einigen Stellen auch nur das, was bisher schon (oder auch "nur") eine Empfehlung (best practice) war - z.B. sollte man eben schon bei WPA2 keine "weak passwords" verwenden, aber jeden vernünftigen Besitzer muß man dazu nicht erst dadurch zwingen, daß neue Geräte das nicht mehr wollen. Jedenfalls nach dem, was man bisher dazu erfahren kann und das basiert bei mir auch nur auf dem Verfolgen der "Entwicklung" in den letzten Jahren - einen Link zur finalen Version von "WPA3" kenne ich nicht und auch die WFA orakelt auf der eigenen Website nur vor sich hin:
WPA2 will continue to be deployed in Wi-Fi CERTIFIED devices for the foreseeable future, and all devices supporting WPA3 will continue to work with WPA2 devices. More on WPA3 security will be revealed later in 2018.
Es wird aber auch in WPA3 weiterhin die (AES-)Verschlüsselung mit 128-Bit-Keys geben, mit ein paar neuen "block cipher modes" wie GCM (der wurde erst 2007 von der NIST (der amerikanischen Standardisierungsbehörde) offiziell geadelt, da gab es WPA2 schon zwei, drei Jahre als "final version"), was von der "besseren Security-Suite" (der, die mit 192-Bit-Keys verschlüsselt) nun auch auf die 128-Bit-Variante übernommen und - soweit man das unterstellen kann - wohl "mandatory" sein wird, wenn jemand die Zertifizierung seiner Gerätschaften für WPA3 haben will.
"Open Networks" werden nicht mehr "open" in dem Sinne sein, daß sie die Daten unverschlüsselt durch die Gegend schicken, sondern daß sie "open" für weitere Teilnehmer sind (auch ohne irgendwelche PSKs o.ä. für die "Teilnahme") und trotzdem den (privaten) Traffic zwischen AP und STA so verschlüsseln, daß andere STA in demselben BSS damit nichts anfangen können (und auch keine "Lauscher") - das wäre/ist eine wirkliche Neuerung (aber auch nur basierend auf bereits existierenden Erweiterungen).
Wie gesagt ... der oben verlinkte Artikel (der basiert auf einem Interview einer (verständigen!) Journalistin mit dem Vizedirektor Marketing der WFA) gibt das eigentlich sehr schön wieder (schon mit seinem "Zwischenfazit"):
Although the vast majority of Wi-Fi devices already meet most of these requirements, the alliance notes by having them in its Wi-Fi certification program it can be certain that all Wi-Fi CERTIFIED devices will meet this higher level of security protection.
und aus dessen Lektüre beantwortet sich eigentlich auch die Frage in #1 - das letzte Zitat von Robinson im Artikel sagt dann eigentlich alles (wenn es um die "Zeitleiste" geht):
"WPA3 will emerge in 2018, but broad adoption is not expected for some time," Robinson says. "WPA2 will continue to be deployed in Wi-Fi CERTIFIED devices for the foreseeable future, and the Wi-Fi Alliance will continue enhancing WPA2 to ensure it delivers strong security protections to Wi-Fi users as the security landscape evolves."
PS: Auch die PMF, die AVM jetzt in der neuen Labor-Version hat, werden dann vermutlich
bindend sein ... zumindest liest (oder las) sich einiges bisher so. Aber auch die Tatsache, daß AVM das schon "vor WPA3" implementieren konnte, sollte noch einmal zeigen, daß WPA3 eigentlich nur bereits vorhandene Verbesserungen, die bisher halt eingebaut werden konnten oder auch nicht, nunmehr explizit einfordern wird, wenn man die Weihen der Zertifizierung erhalten will.
