WiB-Compactの無線セキュリティ

WiB-Compactの無線セキュリティ
WiB-Compactの無線セキュリティ
WiB-Compactは高いセキュリティ通信機能
を持ち、お客様のデータを保護します。
改ざん
盗聴
WiB-Compactを用いたセキュアな無線LAN環境
なりすまし
WiB-Compactの無線セキュリティ
•
WiB-CompactはWPA(Wi-Fi Protected Access)に対応しており、従来のWEPによる接続に比べ
高レベルなセキュリティ通信を実現します。
•
WEPでは、クライアントとアクセスポイントが共通の暗号鍵を用いています。そのため、暗号鍵
が解読される危険性が高く、また解読された場合の被害も大きくなりました。WPAで使われる
TKIP(Temporal Key Integrity Protocol)やAES(Advanced Encryption Standard)または
CCMP(Counter Mode-CBCMAC Protocol)は、その暗号鍵を一定の時間ごとに、自動的に変更
するという技術です。暗号キーがその都度変わるため、不正な解読が困難になります。
•
またWEP自体は各ユーザを判別できるような確実な認証方法を持っておらず、認証部分は
ESS-IDやMACアドレス頼りになります。これらの認証方式もあまり安全とはいえず、不正アクセ
スの危険性が高くなっていました。WPAでは、EAP(Extensible Authentication Protocol)という、
IEEE802.1xで定められたLANにおけるユーザー認証方式の規格が使われています。
•
EAPは、RADIUSサーバのような認証サーバを利用し、ネットワーク上の各ユーザーについて
個別に相互認証を行い(アクセスポイント側からはユーザーの正当性を、ユーザー側からはア
クセスポイントの正当性をそれぞれ認証します)、アクセス時のなりすましを防止します。つまり
WPAの正体は、WEPで使われているSS-IDとWEPの認証に加え、TKIPとEAPのユーザ認証が
組み合わされたものといえます。
•
WPAはEAP認証モードの他に認証サーバを必要としない、PSK認証モードもあり、これは
PSK(Pre-Shared Key)を使用して、クライアントとアクセスポイントがお互いを認証後、暗号通信
を行います。
参考:ITmedia+Dモバイル
WPAによる暗号化
PSKまたはRADIUSサーバを利用したユーザ認証を行うためセキュリティは強固
この時、暗号キーの生成方法を交換
動的暗号キー
送
信
側
・
動的暗号キー
ヘッダも暗号化される
+
暗号化係数
秘密鍵作成
秘密鍵を使用して
データを暗号化
・
動的暗号キー
データ
認証時に決定した方式に従い、一定期間で暗号キーを動的に変更させて
秘密鍵を作成します。
受
信
側
受信
暗号ヘッダ
暗号化されたデータ
暗号キーの生成
+
法則
暗号ヘッダ
秘密鍵作成
認証時に決定した方式と暗号ヘッダ、一定期間で暗号キーを
動的に変更させて復号用の秘密鍵を作成します。
暗号ヘッダ
暗号化されたデータ
アクセスポイント
に送るデータ
秘密鍵を使用して
データを復号
データ
暗号化されたデータ
認証時に暗号キーの生成方法を交換をすることで、通信時は動的に暗号キーを変化させて秘密鍵を作成します。
さらに、ヘッダも暗号化しており、通信を傍受されたとしても解読は難しくなっています。
また、WEPでは同じアクセスポイントでは同じWEPキーを用いていることが多いですが、、WPAでは通信毎に暗号キーが異なりますので、他の通信への影
響は小さくなります。
WEPによる暗号化
あらかじめ暗号キーをお互いに設定しておく
乱数は暗号化されない
送
信
側
固定暗号キー + 乱数(24Bit)
秘密鍵作成
秘密鍵を使用して
データを暗号化
ユーザが指定したWEPキーと通信毎に変化する乱数により
秘密鍵作成
データ
受
信
側
受信
乱数(24Bit) 暗号化されたデータ
固定暗号キー + 乱数(24Bit)
乱数(24Bit)
暗号化されたデータ
アクセスポイント
に送るデータ
秘密鍵復元
秘密鍵を使用して
データを復号
データ
ユーザが指定したWEPキーと受信した乱数により秘密鍵
を復元
暗号化されたデータ
独自の認証方式を持たず、固定の暗号キーと通信毎に変更する24ビット乱数により秘密鍵を作成し通信しますが、乱数が暗号化されず通信され
ることと、暗号キーが固定の為、通信を傍受することにより、固定暗号キーを解読されやすい。
また、同じアクセスポイントに接続するWEPキーは同一のことが多いため、一度解読されてしまうと、ネットワークに存在するすべての通信が解読
されてしまう危険性があります。
WPAとWEPの比較
方式
WPA(Wi-Fi Protected Access)
WEP(Wired Equivalent Privacy)
暗号方式
TKIP
CCMP(AES)
RC4
キーの長さ
128~bit
64/128bit
認証
PSK
802.1x EAP
ESSID/MAC等
特徴
TKIP方式は、暗号アルゴリズムはWEP
と同じRC4ですが、一定時間又は一定パ
ケット量で暗号キーを変更した上で二重
に暗号化処理を行うため、WEPより数段
強固なセキュリティを確保できます。
CCMP(AES)方式は十分なキーの長さが
ある場合、未だ解読されたことはない暗
号アルゴリズムであるため非常に強固
なセキュリティを確保できます。
また、RADIUS認証サーバを介し暗号キー
を認証サーバを通してやり取りすること
も可能です。
広く普及した方式ではありますが、使用する
RC4暗号アルゴリズムがあまり強固な暗号ア
ルゴリズムでない事と、使用する暗号用ヘッ
ダの一部に暗号化されていない部分がある
ため、長時間キャプチャされれば、解読され
る恐れがあります。