利用率7割のWEPは「1分」で破られる

WPAよりWPA2が無難，マスターキーの守りを入念に

　これに対してWPAはどうか。

　WPAは，無線LANの業界団体Wi-Fi Allianceが無線LANにおけるセキュリティ標準IEEE 802.11iのドラフト版に沿う形で策定した規格で，IEEE 802.11iのサブセットととらえられる。暗号化プロトコルはWEPと互換性を保ちTKIP（temporal key integrity protocol）を採用している。暗号アルゴリズムはWEPと同じRC4である。これは，WEPを利用していた機器をファームウエアやドライバのアップデートだけでWPAに対応させられるようにするためである。Wi-Fi AllianceはWPAでも十分に安全であると表明している。

　もう一つのWPA2（Wi-Fi Protected Access 2）は，IEEE 802.11iに準拠する形でWi-Fi Allianceが策定した規格である。暗号プロトコルはCCMP（CBC-MAC付きカウンタ・モード・プロトコル：counter mode with CBC-MAC protocol），暗号アルゴリズムはAESである。WPAと違い，WPA2は出発点がIEEE 802.11i準拠であり，以前の機器との互換性を考慮に入れていない。欠陥をカバーするのではなく，目指すべきセキュリティを実装するという考え方に基づいている。

　前述のように，Wi-Fi AllianceはWPAでもセキュリティは確保できると述べているが，本来目指すべきセキュリティを念頭に作られた規格ということで，本規格（WPA2）の使用が望ましいと考えられる。IEEE 802.11iにおいても，TKIPはCCMPとその堅牢性は同一でないとしており，同規格で定義しているRSN（頑強セキュアネットワーク：Robust Secure Network）を構成する機器はCCMPをサポートしないデバイスと通信するときにのみTKIPを利用すべきだとしている。

　もちろん，WPA，WPA2を利用する場合でも注意点がある。具体的には，暗号鍵の配布手続きだ。この設定が甘いと暗号を破られかねない。

　WPAおよびWPA2では，4種類の暗号鍵を使う。データの暗号化に使うPTK（ペア一時鍵：Pairwise Transient Key），PTKを生成するためのPMK（ペア・マスター鍵：Pairwise Master Key），マルチキャスト用のGTK（グループ一時鍵：Group Transient Key），GTKを配布する際の暗号化に使うGMK（グループ・マスター鍵：Group Master Key）である。一番基になるのはPMKで，最初に何らかの手段でアクセス･ポイントとクライアントで共有する必要がある。

　重要なのは，このPMKの配布手続きだ。多くの場合，認証フェーズには事前共有鍵（Pre-Shared Key：PSK）を使う。PSKは256ビットの値を直接指定するか，8文字から63文字のASCII文字列（パスフレーズ）から256ビットの値を導き出す。つまり一般的なパスワードでの認証と同様に，根本的に辞書攻撃に対するぜい弱性がある。IEEE 802.11i標準では，パスフレーズを利用する際は20文字以下では攻撃を阻止することはできないだろう（A key generated from a passphrase of less than about 20 characters is unlikely to deter attacks.）としている。

　実際，WEPキーの解析で使ったaircrack-ngには，WPA-PSKおよびWPA2-PSKに対するオフラインの辞書攻撃も用意されている。実際にパスワード解析をしている様子を以下に示す。パスフレーズは，辞書ファイルに記載されているうちの一つを無作為に選択した。

図2　WPA2パスフレーズ解析の様子 [画像のクリックで拡大表示]

　解析にはWEPキーの解析と同じノート･パソコンを使用。辞書ファイルは99万6358個のパスフレーズが記載されているものを使った。事前にハッシュ値を計算しておく手法の場合は，ハッシュ・テーブルの作成に2時間30分程度かかった。実際の解析は1秒程度である。実行時に辞書ファイルを読みながら解析を行った場合は5分程度の実行時間であった（解析する順序も関係するため，すべてのパスフレーズに関して5分ということではない。上記辞書ファイルすべてを解析するにはやはり2時間30分程度を要した）。

　このように辞書に載っている単語（もしくはその組み合わせなど推測可能な文字列）では，WEPと同じ程度とは言わないまでも，比較的容易にパスフレーズを解析できてしまう。企業用途においてはPSKでの運用は好ましくない。

　PMKの共有方法としては，PSKのほかに「企業モード」として定義されている方法がある。802.1XとEAPを使って認証する。ただ，これにはコストがかかる。やむを得ずPSKを使う場合は，辞書に載っていない文字列で十分に長いパスフレーズ（20文字以上）を用い，定期的にパスフレーズの変更を行うことが最低限必要である。またPSKでは，全ユーザーが同一のパスフレーズを使用することになるため，個人の特定が難しい側面を持つことも考慮しておきたい。ファイル・サーバーへのアクセス時には別途認証を設けるなどの対応が必要だろう。上位層でさらにユーザごとに認証を行い，暗号化通信させるなどの対応が考えられる。

　企業モードにおけるIEEE 802.1XおよびEAPを利用した認証はさまざまなタイプがサポートされている。2005年にWi-Fi Allianceから公開されている企業向け実装ガイド（Deploying Wi-Fi Protected Access（WPA） and WPA2 in the Enterprise）において，一般的に実装されているEAPタイプの比較が行われている。参考として以下に引用する。

表1　EAP認証タイプの比較

	PEAP	EAP-TLS	EAP-TTLS
User Authentication Database and Server	OTP, LDAP, NDS, NT Domains, Active Directory	LDAP, NT Domains, Active Directory	OTP, LDAP, NDS, NT Domains, Active Directory
Native Operating System Support	Windows XP, 2000	Windows XP, 2000	Windows XP, 2000, ME, 98, WinCE, Pocket PC2000, Mobile 2003
User Authentication Method	Password or OTP	Digital Certificate	Password or OTP
Authentication Transaction Overhead	Moderate	Substantial	Moderate
Management Deployment Complexity	Moderate Digital Certificate For Server	Substantial Digital Certificate Per Client and For Server	Moderate Digital Certificate For Server
Single Sign On	Yes	Yes	Yes

※Deploying Wi-Fi Protected Access（WPA） and WPA2in the Enterprise, Wi-Fi Alliance 2005 Page9 Figure 1.2 EAP Authentication Type Comparisonより引用
※筆者注
OTP：ワンタイムパスワード
NDS：Novell Directory Server
OSサポートの項目ではWindows系のみの表記となっているが，Other operating systems can be supported with supplicantsと注釈があり，Unix系OSで動作するサプリカント（クライアントソフト）も公開されている。

　この表ではPEAP（Protected EAP），EAP-TLS，EAP-TTLSを比較している。大きな違いを挙げると，EAP-TLSではデジタル証明書をサーバー認証とクライアント認証の両方に使い，他の2方式ではサーバー認証にのみデジタル証明書を使う。EAP-TTLSでは，クライアント側はパスワード認証方式になっている。PEAPおよびEAP-TTLSでは暗号化された通信上でパスワード認証が行われ，EAP-TLSではデジタル証明書によるクライアント-サーバー間の相互認証が行われる。デジタル証明書の導入および管理がない分PEAPおよびEAP-TTLSはEAP-TLSより導入および管理の負荷が少ない。

<<

1 2

［記事一覧へ］

　[2008/01/30]