Sinds de eerste wifi-standaard uit 1997 is wifi voorzien van versleuteling, zodat het draadloze verkeer niet afgeluisterd kan worden. Oorspronkelijk werd de beveiliging wep gebruikt die vervolgens vervangen werd door wpa en wpa2. Sinds kort bestaat ook wpa3 als opvolger. Wat is er verbeterd?

In 2003 werd het onveilige en gekraakte wep (Wired Equivalent Privacy) vervangen door tussenoplossing wpa (Wi-Fi Protected Access), en in 2004 werd de echte opvolger van wep vastgesteld in de vorm van wpa2. Lange tijd leek wpa2 veilig te zijn, maar in 2017 bleek met de onthulling van KRACK (Key Reinstallation Attack) dat wpa2 niet langer gegarandeerd veilig meer is.

Het is na veertien jaar de hoogste tijd voor een bijgewerkte beveiliging en die is er in de vorm van wpa3. Net als bij voorganger wpa2 wordt er bij wpa3 onderscheid gemaakt tussen een personal- en enterprise-variant. In wpa3-enterprise is weinig veranderd ten opzichte van wpa2-enterprise, al zijn de richtlijnen om de beveiliging goed te implementeren strikter geworden. Wel is er een extra sterke optionele 192bit-versleuteling toegevoegd voor instellingen of ondernemingen met hoge veiligheidseisen zoals de overheid of defensie.

Thuis zul je doorgaans gebruikmaken van de personal-variant van wpa waarin je een wachtwoord gebruikt om toegang te krijgen tot een netwerk. Juist die personal-variant is met wpa3 een stuk veiliger geworden.

WPA3-encryptie

Wep is gebaseerd op 64- of 128bit-rc4-versleuteling met een vaste sleutel. Dat zorgde ervoor dat wep eenvoudig bleek te kraken. Stoplap wpa gebruikt dezelfde rc4-versleuteling, maar in combinatie met Temporal Key Integrity Protocol (TKIP) zodat dynamische sleutels gebruikt worden. Het gebruik van dezelfde rc4-versleuteling als basis zorgde ervoor dat apparatuur met ondersteuning voor wep eenvoudig bijgewerkt kon worden naar het veiligere wpa.

De echte oplossing was wpa2, dat gebruikmaakt van CCMP (Counter Mode CBC-MAC Protocol) op basis van betere 128bit-aes-versleuteling. De beveiliging van wpa2 werkt op basis van de zogenoemde pre-shared key (psk) oftewel het wifi-wachtwoord. De sleutel zelf wordt niet in eenvoudig leesbare tekst door de lucht gegooid. Op basis van een ‘four-way handshake’ bewijzen client en accesspoint door middel van versleutelde berichten aan elkaar dat ze op basis van dezelfde psk werken. Wanneer dat bewezen is, wordt er een daadwerkelijke encryptiesleutel uitgewisseld.

Sinds 2006 is wpa2 een verplicht onderdeel van nieuwe apparatuur. De kwetsbaarheid van wpa2 zit hem in de psk die in de four-way handshake als basis voor een deel van de communicatie gebruikt wordt. Die communicatie kan worden opgenomen en zo offline gekraakt worden om toegang tot het netwerk te krijgen. Hierbij kan een client van het netwerk afgegooid worden zodat de four-way handshake opnieuw wordt uitgevoerd.

©PXimport

De verbetering van wpa3 zit hem in de manier waarop de encryptiesleutel wordt uitgewisseld. Wpa3 is net als wpa2 gebaseerd op aes-versleuteling, maar maakt gebruik van Simultaneous Authentication of Equals (SAE) dat de pre-shared key vervangt. SAE gebruikt iets dat Dragonfly heet om de encryptiesleutel tussen client en netwerk uit te wisselen. Het wifi-wachtwoord wordt hierbij gebruikt om voor iedere nieuwe client een unieke sleutel, de Pairwise Master Key (PMK), uit te wisselen die vervolgens als basis voor de encryptie wordt gebruikt.

Vervolgens wordt net als bij wpa2 de four-way handshake gebruikt. Zelfs als het wifi-wachtwoord uitlekt, is het niet mogelijk om de unieke sleutel te achterhalen en de encryptie te breken. Het is ook niet langer mogelijk om de four-way handshake op te nemen om deze offline te kraken.

Overgangsperiode

Maar als je router of accesspoint geschikt is voor wpa3, betekent dat niet dat al je clients ook met wpa3 kunnen omgaan. Een router of accesspoint met ondersteuning voor wpa3 krijgt daarom een WPA3-Personal Transition Mode. Hierbij wordt voor apparaten die dat ondersteunen verplicht wpa3 gebruikt, terwijl voor oudere apparaten wpa2-personal beschikbaar blijft. Wpa3 en wpa2 kunnen zo door elkaar gebruikt worden waarbij ook hetzelfde wifi-wachtwoord gebruikt wordt.

Er wordt wel aangeraden om de Transition Mode zodra het kan uit te schakelen en enkel ondersteuning voor wpa3 in te schakelen. Overigens is wpa2 ook direct de enige alternatieve beveiliging die toegestaan wordt, het normale wpa wordt dus niet langer ondersteund.

Easy Connect

Wifi heeft in de vorm van wps een manier om apparaten eenvoudig toe te voegen aan een beveiligd netwerk zonder dat de beveiligingssleutel hoeft te worden ingetikt. Voor het koppelen via wps volstaat het indrukken van knopjes of een pincode. Helaas is wps ook niet veilig en kun je de ondersteuning beter uitschakelen op je router of accesspoint. Met Easy Connect voegt de WiFi Alliance een nieuwe methode toe aan wifi waarmee apparaten zonder beveiligingssleutel met het netwerk verbonden kunnen worden.

Zo kan een apparaat toegevoegd worden via het scannen van een qr-code met een smartphone. Via een beveiligde verbinding worden vervolgens de gegevens van het netwerk uitgewisseld. Als alternatief voor de qr-code kan ook een code worden ingetikt. Hoewel het tegelijkertijd met wpa3 is aangekondigd, is Easy Connect geen onderdeel van wpa3, en kan het ook geïmplementeerd worden in combinatie met wpa2.

Hoewel officieel ook geen onderdeel van wpa3, worden open netwerken in de toekomst onder de naam Wi-Fi Enhanced Open beter beveiligd. In de basis komt het erop neer dat wanneer een gebruiker met een open netwerk zonder wachtwoord verbinding maakt, er toch versleuteling wordt gebruikt. Zo kan het draadloze verkeer dat door de lucht gaat niet langer afgeluisterd worden. Een kanttekening is wel op zijn plaats: hoewel iedere vorm van beveiliging natuurlijk is meegenomen, beschermt Enhanced Open je uiteraard niet tegen valse accesspoints.

De toekomst

Ondersteuning vanuit draadloze routers of accesspoints is één ding, ook de clients moeten om kunnen gaan met wpa3. Moderne draadloze netwerken zullen in het begin zowel wpa2 als wpa3 door elkaar heen gebruiken en vermoedelijk zal het minimaal een paar jaar duren voordat wpa2 in de praktijk niet meer gebruikt wordt.

Ook zal er enige tijd verwarring zijn over welke beveiligingsmethoden precies ondersteund worden, omdat wpa3, Easy Connect en Wi-Fi Enhanced Open drie verschillende certificeringsprogramma’s zijn. Een router met wpa3 ondersteunt dus niet zonder meer Easy Connect of Wi-Fi Enhanced Open. Je moet dus goed opletten of je nieuwe router of accesspoint daadwerkelijk alle beveiligingsmethodes ondersteunt die je wilt hebben.

Met de introductie van een nieuwe Home-architectuur heeft Apple de ondersteuning voor de iPad als centrale woninghub stopgezet. Gebruikers moeten nu overstappen op een Apple TV of HomePod om hun slimme apparaten op afstand te bedienen en automatiseringen uit te voeren.

Het idee was altijd zo handig: die oude tablet die toch maar in de kast lag te verstoffen kreeg een tweede leven als het brein van je woning. Je plakte hem tegen de muur of zette hem op een standaard in de keuken, en plotseling kon je overal ter wereld je lampen bedienen. Toch merkten veel gebruikers dat de betrouwbaarheid vaak te wensen overliet, met apparaten die niet reageerden of automatiseringen die simpelweg weigerden te starten. Apple heeft nu de knoop doorgehakt en de tablet officieel uit de lijst van ondersteunde hubs geschrapt. In dit artikel leggen we uit waarom deze besluitvorming logisch is en wat dat voor jouw huidige opstelling betekent.

Overstap naar een stabiele architectuur

De reden dat de tablet niet langer als hub fungeert, ligt diep in de softwarematige fundering van de Woning-app verborgen. Met de komst van de nieuwe architectuur in iOS 16.2 heeft Apple de manier waarop apparaten met elkaar communiceren volledig herzien. Waar de iPad voorheen als een soort tussenstation fungeerde dat af en toe signalen doorgaf, vereist het nieuwe systeem een apparaat dat altijd aan de stroom hangt en een constante, bekabelde of zeer stabiele draadloze verbinding heeft.

We hebben in onze tests gemerkt dat een iPad die in de slaapstand gaat of waarvan de batterij net onder een bepaald percentage zakt, de communicatie met de rest van het huis direct verstoort. Bovendien ontbreekt in de iPad de hardware voor Thread, een netwerkprotocol dat zorgt dat apparaten razendsnel en zonder vertraging op elkaar reageren. Wanneer je nu op een knop drukt, hoor je bij een moderne hub direct de klik van de schakelaar, terwijl de iPad daar voorheen merkbare seconden over kon doen.

©PHILIPPE RAMAKERS

Soms werkte het wel...

In een heel specifieke context kon de iPad nog wel dienstdoen, mits je geen behoefte had aan de nieuwste snufjes. Voor een simpel huishouden met slechts een paar lampen die alleen via bluetooth of een eigen bridge werkten, was de tablet een prima interface. Het gaf toch een gevoel van controle om een visueel overzicht te hebben op een groot scherm in de woonkamer. Je kon de iPad inzetten als een soort veredelde afstandsbediening die ook toevallig de automatiseringen draaide wanneer je zelf niet thuis was.

Dit werkte vooral goed in kleine appartementen waar de afstand tussen de tablet en de slimme verlichting minimaal was, waardoor de bluetooth-verbinding stabiel bleef. De koopintentie voor een iPad was in die tijd vaak gebaseerd op deze multifunctionaliteit, maar die vlieger gaat met de huidige eisen voor een modern slim huis niet meer op.

Mobiliteit is niet goed voor een hub

Een centraal zenuwstelsel van een woning hoort niet verplaatsbaar te zijn, en dat is precies waar het in de praktijk misging met de iPad. Zodra iemand de tablet van de lader haalde om even op de bank een video te kijken, liep de verbinding met de beveiligingscamera buiten gevaar. We zien vaak dat een hub die op wifi werkt in plaats van via een ethernetkabel, kwetsbaar is voor storingen van andere apparaten in de buurt.

De iPad is ontworpen als een persoonlijk apparaat dat energie bespaart zodra het scherm uitgaat, wat natuurlijk haaks staat op de rol van een server die 24 uur per dag paraat moet staan. In grotere woningen merkten we bovendien dat de iPad simpelweg het bereik niet had om apparaten op de bovenverdieping aan te sturen, iets wat een systeem met meerdere verdeelde hubs veel beter oplost.

©IHAR ULASHCHYK

Signalen om over te stappen

Er zijn een paar duidelijke situaties waarin je de iPad als hub direct moet vervangen door een volwaardige slimme speaker of mediaspeler. Als je van plan bent om apparaten aan te schaffen die met de Matter-standaard werken, heb je eigenlijk geen keuze meer, aangezien de iPad dit protocol niet ondersteunt als hub. Ook wanneer je merkt dat je automatiseringen vaker niet dan wel werken zodra je de voordeur achter je dichttrekt, is dat een teken dat de iPad de verbinding niet stabiel kan houden.

Een ander breekpunt is de behoefte aan beveiligde video-opslag in iCloud. Voor het streamen en analyseren van beelden van je deurbel is simpelweg meer rekenkracht en een constantere verbinding nodig dan een (vaak oudere) tablet kan bieden. Tot slot is het onmogelijk om de woning te upgraden naar de nieuwste softwareversies zonder een ondersteunde hub, waardoor je bijvoorbeeld nieuwe functies en beveiligingsupdates misloopt.

De juiste opvolger kiezen

Het toetsen van je eigen woonsituatie begint bij de vraag hoeveel apparaten je wilt aansturen en of je ook behoefte hebt aan een fysieke interface. Voor de meeste mensen is een mediaspeler zoals de Apple TV de beste keuze, omdat deze (de duurdere versies in elk geval) met een kabel aan je router verbonden kan worden voor de meest betrouwbare verbinding.

Heb je echter geen televisie in de buurt van je slimme apparaten, dan is een compacte speaker die ook als hub fungeert een slimmer alternatief. Je plaatst deze eenvoudig op een centrale plek in huis waar de microfoons ook je stemcommando's kunnen opvangen. Kijk hierbij goed naar de ruimte die je hebt; een kleine speaker past op elk nachtkastje, terwijl een volwaardige mediaspeler vaak een vaste plek in het tv-meubel vereist.

Nee, de iPad is definitief geen woninghub meer

De iPad kan officieel niet meer als hub worden ingesteld in de vernieuwde Woning-app van Apple omdat de hardware niet voldoet aan de eisen van de nieuwe woningarchitectuur. Voor het bedienen van je huis op afstand en het configureren van automatiseringen heb je nu minimaal een HomePod of een Apple TV nodig (mocht je wel bij Apple willen blijven). Deze apparaten bieden ondersteuning voor Thread en Matter, wat zorgt voor een snellere en betrouwbaardere communicatie tussen je slimme apparaten. Hoewel de iPad een handig bedieningspaneel blijft voor op de muur, vinden de processen achter de schermen nu plaats op hardware die altijd met het stroomnetwerk en internet is verbonden.

We hebben een bom-volle aflevering met de review van Mario Tennis Fever en Dwayne's previews van Pokémon Pokopia, Resident Evil Requiem, Pragmata en de Super Mario Bros. Wonder-dlc!

Kom bij onze Discord. Via ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠deze link⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠ ⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠⁠kan je met ons en andere luisteraars kletsen over games, deals, nieuws en meer.

Wil je zelf ook een vraag insturen of heb je iets leuks om te melden? Dat kan! Stuur een mailtje naar bonuslevelcast@gmail.com (of bonuslevelkast@gmail.com of bonuslevelqast@gmail.com) en wellicht hoor je jezelf terug in de volgende aflevering!