* 無線LAN 調査(3) [Internet/Intranet][組込]
セキュリティ
従来は WEP+SSID+MACアドレスフィルタリング を最低限行わなくてはいけないと
言われていたが、最近は WEP+IEEE 802.1x/EAP+RADIUS認証サーバが必要だとも
言われている。
WEPの弱点
・暗号に使う鍵長が短い(64bit時)
・初期化ベクタ(IV)が24bitと短い(64bit/128bit共通)
・鍵が通信中に変化しないため、一度解読されると暗号化の意味を成さない
WEP キーの再認証の間隔は 30分に1回程度行った方が良い
・メッセージの完全性を保証できない(改ざんが可能)
・鍵はアクセスポイントごとに固定、鍵さえ知っていればどのユーザーでもアクセス可
・ユーザーが接続先の真偽の確認を行えない(偽装アクセスポイントの設置が可能)
WPA 「TKIP(Temporal Key Integrity Protocol)」という暗号化方式を採用している。
TKIP では鍵長の拡張のほか、一定時間ごとに暗号鍵を更新する機構を加えることで、
前出の(1)〜(3)の問題を解決している。また(4)の問題については、MIC
(Message Integrity Code:「マイク」と呼ぶ)と呼ばれるメッセージの完全性を
保証する機構を加えることで、セキュリティの3大要素(「盗聴」「なりすまし」「改ざん」)
の最後の1つ「改ざん」を防止できるようになった。(5)と(6)の問題については、
802.1x の認証機構と組み合わせて使用することで回避できるようになっている。
WPA2 「AES(Advanced Encryption Standard)」で採用。AESは、1990年代後半に米国政府
がそれまで使用していた DES やトリプル DES に代わる強力な暗号ソリューションを
一般公募したものがベースとなっている。最終的に、ベルギーより提案された Rijndael
が米国標準技術局(NIST:National Institute of Standards and Technology)に AES
として採用された。AES では128/192/256bit の3種類の鍵長を持ち、暗号強度自体も
DESなどに比べ大幅に強化されている。