Comments
Description
Transcript
WiB-Compactの無線セキュリティ
WiB-Compactの無線セキュリティ WiB-Compactの無線セキュリティ WiB-Compactは高いセキュリティ通信機能 を持ち、お客様のデータを保護します。 改ざん 盗聴 WiB-Compactを用いたセキュアな無線LAN環境 なりすまし WiB-Compactの無線セキュリティ • WiB-CompactはWPA(Wi-Fi Protected Access)に対応しており、従来のWEPによる接続に比べ 高レベルなセキュリティ通信を実現します。 • WEPでは、クライアントとアクセスポイントが共通の暗号鍵を用いています。そのため、暗号鍵 が解読される危険性が高く、また解読された場合の被害も大きくなりました。WPAで使われる TKIP(Temporal Key Integrity Protocol)やAES(Advanced Encryption Standard)または CCMP(Counter Mode-CBCMAC Protocol)は、その暗号鍵を一定の時間ごとに、自動的に変更 するという技術です。暗号キーがその都度変わるため、不正な解読が困難になります。 • またWEP自体は各ユーザを判別できるような確実な認証方法を持っておらず、認証部分は ESS-IDやMACアドレス頼りになります。これらの認証方式もあまり安全とはいえず、不正アクセ スの危険性が高くなっていました。WPAでは、EAP(Extensible Authentication Protocol)という、 IEEE802.1xで定められたLANにおけるユーザー認証方式の規格が使われています。 • EAPは、RADIUSサーバのような認証サーバを利用し、ネットワーク上の各ユーザーについて 個別に相互認証を行い(アクセスポイント側からはユーザーの正当性を、ユーザー側からはア クセスポイントの正当性をそれぞれ認証します)、アクセス時のなりすましを防止します。つまり WPAの正体は、WEPで使われているSS-IDとWEPの認証に加え、TKIPとEAPのユーザ認証が 組み合わされたものといえます。 • WPAはEAP認証モードの他に認証サーバを必要としない、PSK認証モードもあり、これは PSK(Pre-Shared Key)を使用して、クライアントとアクセスポイントがお互いを認証後、暗号通信 を行います。 参考:ITmedia+Dモバイル WPAによる暗号化 PSKまたはRADIUSサーバを利用したユーザ認証を行うためセキュリティは強固 この時、暗号キーの生成方法を交換 動的暗号キー 送 信 側 ・ 動的暗号キー ヘッダも暗号化される + 暗号化係数 秘密鍵作成 秘密鍵を使用して データを暗号化 ・ 動的暗号キー データ 認証時に決定した方式に従い、一定期間で暗号キーを動的に変更させて 秘密鍵を作成します。 受 信 側 受信 暗号ヘッダ 暗号化されたデータ 暗号キーの生成 + 法則 暗号ヘッダ 秘密鍵作成 認証時に決定した方式と暗号ヘッダ、一定期間で暗号キーを 動的に変更させて復号用の秘密鍵を作成します。 暗号ヘッダ 暗号化されたデータ アクセスポイント に送るデータ 秘密鍵を使用して データを復号 データ 暗号化されたデータ 認証時に暗号キーの生成方法を交換をすることで、通信時は動的に暗号キーを変化させて秘密鍵を作成します。 さらに、ヘッダも暗号化しており、通信を傍受されたとしても解読は難しくなっています。 また、WEPでは同じアクセスポイントでは同じWEPキーを用いていることが多いですが、、WPAでは通信毎に暗号キーが異なりますので、他の通信への影 響は小さくなります。 WEPによる暗号化 あらかじめ暗号キーをお互いに設定しておく 乱数は暗号化されない 送 信 側 固定暗号キー + 乱数(24Bit) 秘密鍵作成 秘密鍵を使用して データを暗号化 ユーザが指定したWEPキーと通信毎に変化する乱数により 秘密鍵作成 データ 受 信 側 受信 乱数(24Bit) 暗号化されたデータ 固定暗号キー + 乱数(24Bit) 乱数(24Bit) 暗号化されたデータ アクセスポイント に送るデータ 秘密鍵復元 秘密鍵を使用して データを復号 データ ユーザが指定したWEPキーと受信した乱数により秘密鍵 を復元 暗号化されたデータ 独自の認証方式を持たず、固定の暗号キーと通信毎に変更する24ビット乱数により秘密鍵を作成し通信しますが、乱数が暗号化されず通信され ることと、暗号キーが固定の為、通信を傍受することにより、固定暗号キーを解読されやすい。 また、同じアクセスポイントに接続するWEPキーは同一のことが多いため、一度解読されてしまうと、ネットワークに存在するすべての通信が解読 されてしまう危険性があります。 WPAとWEPの比較 方式 WPA(Wi-Fi Protected Access) WEP(Wired Equivalent Privacy) 暗号方式 TKIP CCMP(AES) RC4 キーの長さ 128~bit 64/128bit 認証 PSK 802.1x EAP ESSID/MAC等 特徴 TKIP方式は、暗号アルゴリズムはWEP と同じRC4ですが、一定時間又は一定パ ケット量で暗号キーを変更した上で二重 に暗号化処理を行うため、WEPより数段 強固なセキュリティを確保できます。 CCMP(AES)方式は十分なキーの長さが ある場合、未だ解読されたことはない暗 号アルゴリズムであるため非常に強固 なセキュリティを確保できます。 また、RADIUS認証サーバを介し暗号キー を認証サーバを通してやり取りすること も可能です。 広く普及した方式ではありますが、使用する RC4暗号アルゴリズムがあまり強固な暗号ア ルゴリズムでない事と、使用する暗号用ヘッ ダの一部に暗号化されていない部分がある ため、長時間キャプチャされれば、解読され る恐れがあります。