WPA3 und Wi-Fi Enhanced Open

Android 10 unterstützt die Wi‑Fi Protected Access Version 3 (WPA3) und die Wi‑Fi Enhanced Open-Standards der Wi‑Fi Alliance (WFA). Weitere Informationen finden Sie unter Sicherheit auf der WFA-Website.

WPA3 ist ein neuer WFA-Sicherheitsstandard für private und Unternehmensnetzwerke. Ziel ist es, die WLAN-Sicherheit insgesamt zu verbessern, indem moderne Sicherheitsalgorithmen und stärkere Chiffren-Suiten verwendet werden. WPA3 besteht aus zwei Teilen:

• WPA3-Personal: Verwendet anstelle eines vorinstallierten Schlüssels (Pre-Shared Key, PSK) die gleichzeitige Authentifizierung von Gleichgestellten (Simultaneous Authentication of Equals, SAE). So erhalten Nutzer einen besseren Schutz vor Angriffen wie Offline-Wörterbuchangriffen, Schlüsselwiederherstellung und Nachrichtenfälschung.
• WPA3-Enterprise:Bietet stärkere Authentifizierungs- und Verschlüsselungsmethoden auf Linkebene sowie einen optionalen 192-Bit-Sicherheitsmodus für sensible Sicherheitsumgebungen.

Wi‑Fi Enhanced Open ist ein neuer WFA-Sicherheitsstandard für öffentliche Netzwerke, der auf der opportunistischen drahtlosen Verschlüsselung (Opportunistic Wireless Encryption, OWE) basiert. Sie bietet Verschlüsselung und Datenschutz in offenen, nicht passwortgeschützten Netzwerken in Bereichen wie Cafés, Hotels, Restaurants und Bibliotheken. Erweitertes Öffnen bietet keine Authentifizierung.

WPA3 und Wi-Fi Enhanced Open verbessern die WLAN-Sicherheit insgesamt und bieten einen besseren Datenschutz und Schutz vor bekannten Angriffen. Da viele Geräte diese Standards noch nicht unterstützen oder noch keine Softwareupdates zur Unterstützung dieser Funktionen erhalten haben, hat WFA die folgenden Übergangsmodi vorgeschlagen:

• WPA2/WPA3 Transition Mode:Der ausliefernde Zugangspunkt unterstützt gleichzeitig WPA2- und WPA3-Standards. In diesem Modus verwenden Android 10-Geräte WPA3 für die Verbindung und Geräte mit Android 9 oder niedriger verwenden WPA2, um eine Verbindung zum selben Zugangspunkt herzustellen.
• WPA2/WPA3-Enterprise-Übergangsmodus:Der ausliefernde Zugangspunkt unterstützt gleichzeitig WPA2-Enterprise- und WPA3-Enterprise-Standards.
• OWE-Übergangsmodus: Der Bereitstellungszugriffspunkt unterstützt gleichzeitig OWE und offene Standards. In diesem Modus verwenden Android 10-Geräte OWE, während Geräte mit Android 9 oder niedriger ohne Verschlüsselung mit demselben Zugangspunkt verbunden werden.

Android 12 unterstützt die Deaktivierungsanzeige für die Umstellung. Dabei wird einem Gerät mitgeteilt, WPA2 nicht zu verwenden, sondern stattdessen WPA3. Wenn ein Gerät diese Meldung erhält, verwendet es WPA3, um eine Verbindung zu einem WPA3-Netzwerk herzustellen, das einen Transition-Modus unterstützt. Android 12 unterstützt außerdem den WPA3-Hash-zu-Element-Authentifizierungsaustausch (H2E). Weitere Informationen finden Sie in der WPA3-Spezifikation.

WPA3 und Wi‑Fi Enhanced Open werden nur im Clientmodus unterstützt.

Implementierung

Implementieren Sie die Supplicant HAL-Schnittstelle, um WPA3 und Wi‑Fi Enhanced Open zu unterstützen. Ab Android 13 verwendet die Schnittstelle AIDL für die HAL-Definition. Bei Releases vor Android 13 werden für Schnittstellen und Anbieterpartitionen HIDL verwendet. Die HIDL-Schnittstelle finden Sie unter hardware/interfaces/wifi/supplicant/1.3/ und die AIDL-Schnittstelle unter hardware/interfaces/wifi/supplicant/aidl/.

Für die Unterstützung von WPA3 und OWE sind folgende Voraussetzungen erforderlich:

• Linux-Kernel-Patches zur Unterstützung von SAE und OWE

  • cfg80211
  • nl80211

• wpa_supplicant mit Unterstützung für SAE, SUITEB192 und OWE

• WLAN-Treiber mit Unterstützung für SAE, SUITEB192 und OWE

• WLAN-Firmware mit Unterstützung für SAE, SUITEB192 und OWE

• WLAN-Chip mit Unterstützung für WPA3 und OWE

In Android 10 sind öffentliche API-Methoden verfügbar, mit denen Apps die Geräteunterstützung für die folgenden Funktionen ermitteln können:

• WifiManager#isWpa3SaeSupported
• WifiManager#isWpa3SuiteBSupported
• WifiManager#isEnhancedOpenSupported

WifiConfiguration.java enthält neue Schlüsselverwaltungstypen sowie paarweise Chiffren, Gruppenverschlüsselungschiffe, Gruppenverwaltungschiffe und Suite-B-Chiffren, die für OWE, WPA3-Personal und WPA3-Enterprise erforderlich sind.

WPA3 und Wi‑Fi Enhanced Open aktivieren

So aktivieren Sie WPA3-Personal, WPA3-Enterprise und Wi‑Fi Enhanced Open im Android-Framework:

• WPA3-Personal:Fügen Sie die CONFIG_SAE-Kompilierungsoption in die wpa_supplicant-Konfigurationsdatei ein.

  # WPA3-Personal (SAE)
  CONFIG_SAE=y
  

• WPA3-Enterprise:Fügen Sie die Kompilierungsoptionen CONFIG_SUITEB192 und CONFIG_SUITEB in die Konfigurationsdatei wpa_supplicant ein.

  # WPA3-Enterprise (SuiteB-192)
  CONFIG_SUITEB=y
  CONFIG_SUITEB192=y
  

• Wi‑Fi Enhanced Open:Fügen Sie die CONFIG_OWE-Kompilierungsoption in die Konfigurationsdatei wpa_supplicant ein.

  # Opportunistic Wireless Encryption (OWE)
  # Experimental implementation of draft-harkins-owe-07.txt
  CONFIG_OWE=y
  

Wenn WPA3-Personal, WPA3-Enterprise oder Wi‑Fi Enhanced Open nicht aktiviert sind, können Nutzer diese Netzwerktypen nicht manuell hinzufügen, scannen oder eine Verbindung dazu herstellen.

Zertifizierungsstufe

Führen Sie die folgenden Tests aus, um Ihre Implementierung zu testen.

Einheitentests

Führen Sie SupplicantStaIfaceHalTest aus, um das Verhalten der Funktions-Flags für WPA3 und OWE zu prüfen.

atest SupplicantStaIfaceHalTest

Führen Sie WifiManagerTest aus, um das Verhalten der öffentlichen APIs für dieses Feature zu prüfen.

atest WifiManagerTest

VTS-Tests

Wenn die HIDL-Schnittstelle implementiert ist, führen Sie Folgendes aus:

atest VtsHalWifiSupplicantV1_3TargetTest

Wenn die AIDL-Schnittstelle implementiert ist, führen Sie Folgendes aus:

atest VtsHalWifiSupplicantStaIfaceTargetTest