このページでは,基本情報技術者試験をはじめとする情報処理技術者試験で必須となる,WEP・WPA・WPA2・WPA3について,概要,暗号化方式,脆弱性や改善点,クライアント認証のモード(パーソナル,エンタープライズ)をシンプルにまとめています。各規格の特徴や違いを理解して,無線LANセキュリティの基礎を押さえましょう。
WEP(Wired Equivalent Privacy)とは(無線LAN初期の暗号化規格)
WEPは,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化にはRC4(ストリーム暗号)を使用します。
※ WEPは,IEEE802.11に標準で実装されている
※ WEPには脆弱性があり,十分な安全性を確保できないため,現在は,ほとんど使用されていない
WEPを無線アクセスポイントに設定すると,WEPキーを設定していない無線LAN端末は無線アクセスポイントに接続できないため,暗号化だけでなく,認証の役目も果たすことになります。
WEPの脆弱性と安全性の限界
WEPには,次のような脆弱性があります。
鍵管理の仕組みがないため鍵の配布が難しい
⇒ 同じWEPキーを使い続けてしまい,漏えいの可能性が高くなる
IVが短い,暗号化されていない,WEPキーの情報を漏らすようなIVがある
⇒ 現実的な時間内に解読されてしまう可能性が高くなる
無線アクセスポイントに接続するすべての機器が同じWEPキーを使用する
⇒ 他の利用者が解読できる
ICVは,改ざんしても,CRC32により再計算することが可能
⇒ 改ざん防止には役立たない
このような脆弱性があるため,現在,WEPは,ほとんど使用されていません。
WPA(Wi-Fi Protected Access)とは(改良された暗号化規格)
WPAは,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,WEPを改良したTKIPを採用しています。利用者認証の機能もあります。
※ WEPに脆弱性が見つかり,IEEE802.11i(WPA2)の策定をはじめたが,かなりの時間が必要だったため,先取りする形で策定された。そのため,既存の無線LAN機器のまま,ソフトウェアアップグレードで対応可能
※ WPAでは,十分な安全性を確保できないため,現在では,非推奨となっている
※ TKIPについては,後述
TKIP(Temporal Key Integrity Protocol)とは(WPAの暗号化と完全性検証)
TKIPは,WPAで採用されたプロトコルです。データの暗号化にはRC4(ストリーム暗号)を,完全性の検証にはMICを使用します。
WPAでは,WEPの問題点を,次のように改善しています。
- IEEE802.1xによる動的鍵配布の仕組みを利用できるようにした
- 生成した鍵を暗号化や完全性の検証に用いることで,鍵の安全性が高まった
- IVを48ビットに拡張し,同じIVを発生しにくくした
- IVの使い方を規定し,フレームごとに確実に異なる暗号化鍵を使用できるようにした
- MICにより,データの改ざんを検知できるようにした(MACアドレスの改ざんも検知できる)
クライアントの認証方式
WPA Personal(WPA-PSK;パーソナルモード)とは
パーソナルモードでは,事前共有鍵(PSK;Pre-Shared Key)を使用して認証します。このPSKは,クライアントと無線アクセスポイントに,パスフレーズ(パスワード)を手動で設定することにより自動的に生成されます。
※ 個人・小規模事業所向け
WPA Enterprise(エンタープライズモード)とは
エンタープライズモードでは,IEEE802.1x認証に基づく認証サーバー(RADIUSサーバーなど)を使用して認証します。
※ 大規模事業所向け
※ RADIUSについては,「RADIUS・IEEE802.1x/EAPの基礎まとめ」を参照
広告
WPA2(Wi-Fi Protected Access 2)とは(より強化された無線LANセキュリティ)
WPA2は,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,CCMPを採用しています。利用者認証の機能もあります。
※ WPAの後継プロトコルで,IEEE802.11iに準拠している
※ CCMPについては,後述
CCMP(Counter mode with CBC-MAC Protocol)とは(WPA2の暗号化と完全性検証)
CCMPは,WPA2で採用されたプロトコルです。データの暗号化にはAES(ブロック暗号)を,完全性の検証にはMIC使用します。
クライアントの認証方式
WPA2 Personal(WPA2-PSK;パーソナルモード)とは
※ 内容は,WPAパーソナルモードと同じ。「内部リンク(WPA(Wi-Fi Protected Access)とは(WPA Personal(WPA-PSK;パーソナルモード)とは))」を参照
WPA2 Enterprise(エンタープライズモード)とは
※ 内容は,WPAエンタープライズモードと同じ。「内部リンク(WPA(Wi-Fi Protected Access)とは(WPA Enterprise(エンタープライズモード)とは))」を参照
広告
WPA3(Wi-Fi Protected Access 3)とは(最新のWi-Fiセキュリティ規格)
WPA3は,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,CCMPとGCMPを採用しています。利用者認証の機能もあります。
※ WPA2の後継プロトコルで,IEEE802.11iに準拠している
| モード | 暗号方式 | 暗号アルゴリズム |
|---|---|---|
| WPA3-Personal Only mode WPA3-Personal Transition mode WPA3-Enterprise Only mode WPA3-Enterprise Transition mode | CCMP | AES(128ビット) |
| WPA3-Enterprise 192-bit mode | GCMP | AES(256ビット) |
※ 各モードの詳細は後述
※ GCMP(Galois/Counter Mode Protocol)…WPA3のWPA3-Enterprise 192-bit modeで採用されたプロトコル。データの暗号化にはAES(ブロック暗号)を,完全性の検証にはGMACを使用する
※ GMAC…GCM(Galois/Counter Mode)により生成されたMAC
クライアントの認証方式
WPA3では,パーソナルモードとエンタープライズモードが細分化されました。
WPA3-Personal(WPA3-SAE;パーソナルモード)とは(SAEによる安全な認証)
パーソナルモードでは,利用者が入力したパスワードと,乱数を使用して,楕円曲線暗号により認証するSAE(Simultaneous Authentication of Equals)方式が採用されました。
WPA3-Personal Only modeとは
WPA3-Personal Only modeは,WPA3-Personalに対応したクライアントのみが接続できるモードです。
WPA3-Personal Transition modeとは
WPA3-Personal Transition modeは,WPA3-Personalに対応していないWPA2-Personalクライアントを,WPA2で接続できるようにするモードです。
※ WPA2からの移行モード
WPA3-Enterprise(WPA3-EAP;エンタープライズモード)とは(強化されたエンタープライズ向け認証)
WPA3-Enterprise Only modeとは
WPA3-Enterprise Only modeは,WPA3-Enterprise Only modeに対応したクライアントのみが接続できるモードです。
WPA3-Enterprise Transition modeとは
WPA3-Enterprise Transition modeは,WPA3-Enterpriseに対応していないWPA2-Personalクライアントを,WPA2で接続できるようにするモードです。
WPA3-Enterprise 192-bit modeとは
WPA3-Enterprise 192-bit modeは,WPA3-Enterprise 192-bit modeに対応したクライアントのみが接続できるモードです。より高いセキュリティ要件に対応できます。
まとめ
今回は,WEP・WPA・WPA2・WPA3についてシンプルにまとめてみました。暗号化方式や認証モードを理解することで,無線LANのセキュリティの基礎を押さえられます。ややこしい内容ですが,繰り返し確認することで理解が深まります。
理解が進んだら,過去問題等にも挑戦してみてください。
