802.11w привнес немного улучшений в процедуру обмена служебными фреймами между точкой и клиентами.
С картинками и на английском можно почитать тут, например.
https://wlan1nde.wordpress.com/2014/10/21/protected-management-frames-802-11w/Вкратце:
Добавилась такая сущность как IGTK или Integrity Group Temporal Key. Этот ключ согласуется уже после процедуры, предусмотренной WPA2. Когда точке нужно отправить служебный мультикаст, она использует IGTK для генерации специального поля (MIC) и добавляет его в кадр. Клиент при получении кадра тоже может сгенерировать MIC и проверить соответствие с использованием полученного ранее IGTK. Короче, вот такая цифровая подпись, ничего нового.
Стандарт появился еще в 2009 году, но даже спустя девять лет никто особо не чешется.
Фактически, все было сделано для мягкого перехода, так как предусматривается два режима работы:
1) Точка требует жестко соблюдать механизмы распространения IGTK и не принимает клиентов без поддержки PMF
2) Точка анонсирует поддержку PMF и если клиент попросит, то может согласовать с ним IGTK.
Во втором режиме на одну точку могут зацепиться клиенты как с подержкой PMF, так и без нее. Ничего страшного в этом нет. Новые будут проверять MIC и принимать решения самостоятельно, а старые будут игнорировать подпись и доверять всем служебным кадрам от имени точки.
Достаточно немного желания и за несколько лет можно было бы осуществить переход на более защищенный стандарт. Теперь же мы имеем огромное количество домашних роутеров без его поддержки и кучу устройств, производители которых точно так же клали болт.
Видимо, Wi-Fi alliance это надоело и WPA3, между прочим, жестко требует наличие PMF (иначе не получится сертифицировать). Так что новые роутеры, даже самая люая дешмань, скоро будут поддерживать его поголовно. Правда, использовать будет возможно только по второму варианту из-за описанных выше причин.
