Wi-Fi技術講座 第4回
認証と暗号化の取り決め
シスコシステムズ 前原 朋実
Wi-Fiセキュリティの基本として、認証と暗号化があります。認証は不正侵入防止対策、暗号化は盗聴防止対策です。
図1 認証と暗号化方式
2つの認証方式と特徴
まずは認証方式から見ていきます。
認証方式としては、PSK (Pre-Shared Key 事前共有カギ)というアクセスポイントと端末で通信前に共有しておく暗号カギを利用する方式と、802.1x (EAP (Extensible Authentication Protocol ))という認証サーバを要する2種類がありますが、企業向けは802.1xの利用を推奨します。
PSKはユーザーがキーを知る可能性があり、情報漏えいにつながる可能性があるからです。802.1xで使うEAPタイプには複数ありますが、一般的にはEAP-TLSやPEAPが使われることが多いです。
よくWi-Fiセキュリティとして、SSIDのステルス化やMACアドレス認証が言われますが、これらと比較すると不十分です。SSIDステルス化はアクセスポイントからビーコンを送信しないため一見良さそうですが、SSIDを知っているクライアントが接続しようとする時、それにアクセスポイントが応答する時にはSSID情報が含まれます。このSSID情報はツールで容易に取得できます。MACアドレス認証も同様です。
また、暗号化していても、SSIDとMACアドレスは平文でやり取りされます。そのため、MACアドレスの入手、偽造は容易です。ステルスもMACアドレス認証も、悪意のない人がうっかり接続する可能性を低くするくらいに考えておくと良いかと思います。悪意のある人にとっては簡単に飛び越えられる障壁でしかありません。
なお、WPA/WPA2とIEEE802.11iの関係についてざっくり説明すると下記のようになり、Wi-Fi Allianceが実施するWi-Fi認定の取得には2006年3月よりIEEE 802.11i対応が必須になっています。
WPA < WPA2 (認証プログラム by Wi-Fi Alliance) = IEEE 802.11i (IEEE標準プロトコル)
表1 暗号化と認証方式
少し前にKRACKというWPA/WPA2の脆弱性が話題になりました。
これは、実際にWi-Fiに接続しないと破れず、破る方法も非常に複雑で知る限りツールもありませんので影響は非常に限定的です。
通信はWi-FiのレイヤだけでなくHTTPSなど他レイヤでも保護されています。そのため、冷静な対処が必要です。
また、すでに各メーカーから対応ファームウェアを提供していますので、端末・アクセスポイント両方での対応をすれば問題ありません。
3種類の暗号化方式と特徴
次に暗号化です。
暗号化には、次の3種類がありますが、順に、より強固なものになっています。
- WEP(Wired Equivalent Privacy)
- TKIP(Temporal Key Integrity Protocol)
- AES(Advanced Encryption Standard)
WEPもTKIPも解読可能であり、セキュリティとしては弱く、また802.11n/acではAESが必須となっており、WEPやTKIPを利用すると54Mbpsにスループットが落とされてしまうという仕様になっています。
標準化や認定という観点から見ても、現在はAESが大前提となっています。IEEE 802.11iでWi-Fi セキュリティの標準化がされ、2006年3月よりWi-Fi認定の取得にはIEEE 802.11i対応が必須になっています。
また、そのWi-Fi認定を行うWi-Fi Allianceからは以下のメッセージが出されています。
-
- Wi-Fi Alliance はWEPとTKIPの使用を避け、WPA2に移行することを推奨しています。
- Wi-Fi 認定された端末に於いてプライマリーインターフェイスへ “TKIP-only” の設定を推奨とすることを禁止しています。
Wi-Fi Alliance : Security
http://www.wi-fi.org/ja/discover-wi-fi/security
Technical Note Removal of TKIP from Wi-Fi Devices (2015年3月)
https://www.wi-fi.org/download.php?file=/sites/default/files/private/Wi-Fi_Alliance_Technical_Note_TKIP_v1.0.pdf (直接ブラウザに貼付で閲覧可)
◆Wi-Fi技術講座一覧◆
Wi-Fi技術講座 第1回 2.4G帯と5G帯の使い分け
Wi-Fi技術講座 第2回 Beaconはお知らせ信号
Wi-Fi技術講座 第3回 Wi-Fiのルール CSMA/CA
■Wi-Biz通信(メールマガジン)の登録はこちら