После двух лет разработки подготовлен (http://lists.infradead.org/pipermail/hostap/2018-December/03...) выпуск hostapd/wpa_supplicant 2.7 (http://w1.fi/), набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/) для подключения к беспроводной сети в роли клиента и фонового процесса hostapd (http://w1.fi/hostapd/) для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.Основные новшества:
- Добавлена поддержка метода быстрой настройки соединения FILS (https://en.wikipedia.org/wiki/IEEE_802.11ai) (Fast Initial Link Setup, стандартизирован как IEEE 802.11ai), позволяющего избавиться от задержек при роуминге во время миграции от одной точки доступа к другой;
- Добавлена поддержка метода согласования соединения OWE (Opportunistic Wireless Encryption, RFC 8110 (https://tools.ietf.org/html/rfc8110)) для генерации ключей шифрования в открытых сетях. Расширение OWE задействовано в стандарте WPA3 для шифрования всех потоков данных между клиентом и точкой доступа в общедоступных публичных беспроводных сетей, не требующих аутентификации;
- Добавлена поддержка протокола DPP (Wi-Fi Device Provisioning Protocol), определяющего метод аутентификации по открытым ключам, задействованный в стандарте WPA3 для организации упрощённой настройки устройств без экранного интерфейса. Настройка осуществляется с использованием другого более продвинутого устройства, уже подключенного к беспроводной сети. Например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе;
- Устранена группа уязвимостей, связанных с атакой KRACK (https://www.opennet.ru/opennews/art.shtml?num=47392) (Key Reinstallation Attacks), позволяющей вклиниться в беспроводное соединение на базе технологии WPA2 и организовать перехват или подстановку трафика без подключения к беспроводной сети и без определения пароля доступа;
- Удалён код, связанный с поддержкой механизма PeerKey (скомпрометирован и подвержен атаке KRACK);
- Добавлена возможность использования криптографической библиотеки wolfSSL (https://www.wolfssl.com/) и обеспечена совместимость с выпуском OpenSSL 1.1.1;
- В EAP-pwd добавлена возможность использования соли при хэшировании паролей;
- Улучшения, специфичные для hostapd:
- Переработана реализация технологии быстрого роуминга FT (https://en.wikipedia.org/wiki/IEEE_802.11r-2008)(Fast Transition, IEEE 802.11r), позволяющая переключаться между точками доступа по мере перемещения. Добавлена поддержка IEEE VLAN, SHA384, локальной генерации PMK-R0/PMK-R1 для FT-PSK, масок R0KH/R1KH и возможнлсть задания времени жизни в кэше PMK-R0 и PMK-R1;
- Улучшен реализация протокола аутентификации и создания ключей SAE (http://en.wikipedia.org/wiki/IEEE_802.11s#Peer_authenticatio...) (Simultaneous Authentication of Equals), предоставляющего более защищённый метод аутентификации на основе паролей. Добавлена возможность настройки отдельного пароля для SAE, не пересекающегося с паролем WPA2. Добавлена настройка "sae_require_pmf" для обязательного применения MFP для SAE. Добавлена поддержка PI (Password Identifier);
- В интерфейс командной строки (hostapd_cli) добавлена возможность просмотра истории введённых команд и автодополнения ввода;
- Добавлены опции для ограничения интенсивности обновления ключей EAPOL (wpa_group_update_count и wpa_pairwise_update_count);
- В реализацию стандарта Hotspot 2.0 добавлена возможность настройки
ссылки на провайдера (venue_url), определения документа с условиями использования, подключения в режиме роуминга и установки OSEN-соединений;
- Улучшения, специфичные для wpa_supplicant:
- Добавлена поддержка 3072-битных ключей RSA с 192-битной криптографией NSA Suite B (https://en.wikipedia.org/wiki/NSA_Suite_B_Cryptography);
- В реализации стандарта IEEE 802.1AE (MACsec) предложен новый драйвер macsec_linux, предоставляющий интерфейс к модулю ядра Linux macsec;
- Добавлена возможность использования для кэша PMKSA постоянных внешних хранилищ;
- Добавлена поддержка рандомизации локального MAC-адреса для запросов GAS (параметр gas_rand_mac_addr);
- Добавлена опция auto_uuid для использования случайного WPS UUID;
- Добавлена поддержка использования хэша SHA256 при сравнении сертификатов OCSP;
- Добавлен параметр group_mgm для настройки наборов шифров, разрешённых для управления группами;
- Для режима AP (точка доступа) добавлена настройка ap_isolate;
- В netlink-интерфейсе nl80211 добавлена поддержка выноса обработки операций 4-стороннего согласования соединения на плечи драйвера;
- В реализации FT (https://en.wikipedia.org/wiki/IEEE_802.11r-2008) (Fast Transition) добавлена поддержка SHA384 и шифров BIP-CMAC-256, BIP-GMAC-128 и BIP-GMAC-256 в дополнение к BIP-CMAC-128.
URL: http://lists.infradead.org/pipermail/hostap/2018-December/03...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49782