WPA3 nedir

WPA3 (Wi-Fi Protected Access 3), Haziran 2018'de Wi-Fi Alliance tarafından onaylanan kablosuz-ağ güvenlik standardıdır. 2004'ten beri varsayılan olan WPA2'nin halefi. WPA3 sertifikası "Wi-Fi 6" veya sonrası markalı herhangi bir cihaz için zorunlu.

Motivasyon WPA2'deki yamalanması pratik olmaktan çıkan zayıflıklar zinciriydi. WPA2 4-yollu handshake'e karşı 2017 KRACK saldırısı her Wi-Fi sağlayıcının firmware güncellemesi yayınlamasını zorladı ve protokolün bütünlüğünün istemcilerin her zaman uymadığı varsayımlara dayandığını gösterdi. Yakalanmış WPA2 handshake'lerine karşı offline sözlük saldırıları tüketici GPU'larıyla önemsiz hale gelmişti.

WPA3 neyi değiştiriyor

SAE PSK'nın yerini alıyor. WPA2-Personal 4-yollu handshake'li Pre-Shared Key (PSK) kullandı. Handshake'i yakalayan saldırgan offline her sözlük parolasını deneyebilir, ağla ek etkileşim gerekmedi. WPA3-Personal bunu RFC 7664'te tanımlı ve Dragonfly anahtar değişimine dayalı Simultaneous Authentication of Equals (SAE) ile değiştirir. SAE dengeli parola-doğrulamalı anahtar değişimi: parola tahmininin her biri erişim noktasıyla yeni etkileşim gerektirir. Offline kaba kuvvet artık mümkün değil.

Forward secrecy. WPA2 tüm oturum anahtarlarını PSK'dan türetiyordu, dolayısıyla daha sonra parolayı öğrenen saldırgan önceden yakalanmış her oturumu deşifre edebiliyordu. SAE uzun-vadeli parolanın yeniden inşa edemeyeceği geçici oturum anahtarları üretir. Parola sızsa bile geçmiş trafik korunur.

Açık ağlar için OWE. Açık Wi-Fi (parolasız) her paketi düz metinde gönderiyordu. RFC 8110'da tanımlı Opportunistic Wireless Encryption (OWE), parolasız ağlarda trafiği doğrulanmamış Diffie-Hellman değişimi kullanarak şifreler. Erişim noktasını doğrulamaz, dolayısıyla saldırgan SSID'yi hâlâ taklit edebilir, ama pasif dinleme artık çalışmaz.

192-bit kurumsal mod. WPA3-Enterprise şifreleme için GCMP-256, bütünlük için HMAC-SHA384 ve anahtar değişimi için P-384 eğrisi üzerinden ECDH/ECDSA kullanan opsiyonel 192-bit güvenlik paketine sahip. CNSA Suite gereksinimleriyle uyumlu hükümet ve finans ağları için tasarlandı.

WPA3 neyi değiştirmiyor

WPA3 hâlâ katman 2'de çalışır. Cihazınla erişim noktası arasındaki radyo bağlantısını doğrular. Yolun geri kalanı hakkında hiçbir şey yapmaz: operatörün router'ı, ISP'si ve aradaki her ağ trafiğini kablolu bağlantıdaymışsın gibi görür. Uçtan uca şifreleme (HTTPS, TLS, VPN'ler) erişim noktasının ötesinde içeriği koruyan şey.

WPA3 ayrıca WPA3-Personal modunda erişim noktasının kimliğini istemciye doğrulamaz. Aynı SSID ve parolayla sahte AP çalıştıran saldırgan istemcilerin ilişkilenmesini yine sağlayabilir. SAE saldırganın parolayı öğrenmesini engeller, ama sahte AP şifresiz herhangi bir trafiğe karşı yine aktif man-in-the-middle saldırısı yapabilir.

Yaygın kullanım durumu (2026)

2020'den beri satılan çoğu kurumsal erişim noktası WPA3'ü destekliyor. Tüketici router'ı kullanımı orta aşamada: 2021'den itibaren router'lar tipik olarak destekliyor, ama birçok ağ daha eski istemcilerle uyumluluk için karma mod (WPA2/WPA3 geçiş modu) çalıştırıyor. iPhone'lar iOS 13'ten beri, Android 10'dan beri, Windows Mayıs 2019 güncellemesinden beri, macOS 10.15'ten beri WPA3'ü destekliyor.

Karma-mod ağlar WPA3-yalnız'dan daha zayıf çünkü isteyen herhangi bir istemciden WPA2 handshake'ini kabul ederler. Ev router'ını WPA3-yalnız moda ayarlamak her cihazı yeni protokolü kullanmaya zorlar, ama 2019 öncesi cihazları bozar.