Pictlet #4 暗号技術を知らなくてもだいたいわかる無線LAN-WPA2関連規格の名前と役割 （ついでにKRACKの話を少しだけ）

Presentation on theme: "Pictlet #4 暗号技術を知らなくてもだいたいわかる無線LAN-WPA2関連規格の名前と役割 （ついでにKRACKの話を少しだけ）"— Presentation transcript:

1 Pictlet #4 暗号技術を知らなくてもだいたいわかる無線LAN-WPA2関連規格の名前と役割 （ついでにKRACKの話を少しだけ）
アイデアクラフト　開米瑞浩 本書は無線LANの暗号化技術に関する図解表現方法を分析・例示したピクトレットです。 本書の著作権は開米瑞浩が保持しますが、図版の引用にあたって著作権表記をしていただく必要はありません。本書の図版は自由に引用／改変使用可能です。 本書の内容についての技術的正確性は保証しません。 本書についての誤りの指摘や改善提案、別案の提供は末尾記載の連絡先までお願いします。

2 本書の背景・目的・想定読者など 2017年10月16日にWi-FiのWPA2規格に対するKRACK攻撃の話題を目にしたことがきっかけで、無線LAN関連技術の構成を理解するために作った自分用のメモです 無線LAN関係の勉強をしようとすると出てくる、AES、CCMP、CBC-MAC、CTR、IEEE802.1xなどの諸規格に頭がこんがらがってしまった人には役に立つことでしょう 文章だけでなく図解で技術解説をする文化を広めることが本当の目的です。「こんなふうに図解できるのか！」と、図解手法の参考にしてもらえると嬉しいです。図版も文章も自由に引用／改変使用可能です。 ただし本書の技術的正確性は保証しません 誤りの指摘や改善提案、要望、歓迎します。連絡先は最後に記載。

3 通信文の傍受・改ざん対策が必要 Ａ B 通信文 通信文 Ａさん（送信者）がＢさん（受信者）に何らかの通信文を送りたいとします。
「通信文」とは、相手に読んで欲しい情報そのものと思ってください。 実際には画像などのバイナリデータの場合もあります。 Ａ B 作成 通信文 送信 受信 閲覧 通信文 傍受 改ざん 「通信文」は、伝送の途中で何者かによって「傍受」または「改ざん」される可能性があるため、これを防がなければなりません。

4 暗号化によって傍受を防ぐ 通信文 暗号文 暗号文 通信文 無線LANでは電波を使うため、電波そのものの傍受を防ぐことは不可能です。
傍受されても意味不明なデータとなるように暗号化しなければなりません。 通信文 暗号化 暗号文 暗号文 復号化 通信文 おはよう ございます qh67yghzhHao2567Ash5Kw# qh67yghzhHao2567Ash5Kw# おはよう ございます これだけを傍受しても意味不明

5 暗号化だけでは改ざんは防げない 通信文 暗号文 暗号文 通信文 別な情報が届いてしまう
しかし暗号化だけでは「改ざん」を防ぐことはできません。 詳細は省きますが暗号を解読できなくても改ざんはできる場合があります。 そこで、改ざんを防ぐ＝「通信文の完全性を検証する」必要があります。 通信文 暗号化 暗号文 暗号文 復号化 通信文 おはよう ございます qh67yghzhHao2567Ash5Kw# H--ght7At クソッタレ！ 改ざん 別な情報が届いてしまう

6 一致しないので、このメッセージは不完全である。
メッセージ認証により改ざんを防ぐ 通信文に特殊な処理を加えて短いコードを生成し、それを暗号文に添付して受信側で比較することにより改ざんを検出することができます。ここで使われる「完全性を検証するための短いコード」を「メッセージ認証コード(MAC)」と言います。 (MAC=Message Authentication Code) 通信文 暗号化 暗号文 暗号文 復号化 通信文 MAC MAC MAC生成 完全性検証 一部改ざん ありがとう ございます qh67yghzhHao2567Ash5Kw# H--ght7At hHao2567Ash5Kw# 暗号文とMACが 一致しないので、このメッセージは不完全である。 5671h9Dk 5671h9Dk 暗号文の改ざんは出来ても MACまで整合性をとって 偽装することは困難 改ざん検知可能

7 暗号化には鍵とアルゴリズムが必要 鍵１ 鍵２ 通信文 暗号文 通信文 アルゴリズム アルゴリズム 共通鍵暗号 公開鍵暗号 暗号化 復号化
暗号化をするためには「鍵」と「アルゴリズム」が必要です。 アルゴリズムは「通信文」と「鍵１」の入力を元に「暗号文」を出力し、 「暗号文」と「鍵２」の入力を元に「通信文」を出力します。 鍵１ 鍵２ 通信文 暗号文 通信文 アルゴリズム アルゴリズム 暗号化 復号化 共通鍵暗号 暗号化と複合化に共通の鍵を使う方法。 公開鍵暗号 暗号化と複合化に異なる鍵を使う方法。

8 共通鍵を攻撃者に知られてはならない 共通鍵 共通鍵 通信文 暗号文 暗号文 通信文 共通鍵 共通鍵を攻撃者に知られてはならない 厳秘
無線LAN通信では基本的に共通鍵暗号によって暗号文とMACを生成しています。 共通鍵が分かれば傍受・改ざんが可能なため、攻撃者に知られてはなりません。 共通鍵 共通鍵 通信文 暗号化 暗号文 暗号文 復号化 通信文 MAC MAC MAC生成 完全性検証 共通鍵を攻撃者に知られてはならない 厳秘 共通鍵

9 共通鍵を配布する安全な方法は？ PSK PSK PSK PSK 全員が同じPSK （事前共有鍵） を長期間使用する
しかし、共通鍵を無線LAN利用者に安全に配布するのは簡単ではありません。 家庭用の無線LANで利用されるPSK方式は脆弱かつ運用負担が大きくなります。 PSK= Pre Shared Key 、「事前共有鍵」方式。 無線LAN-AP 全員が同じPSK （事前共有鍵） を長期間使用する PSK PSK PSK PSK 注：なおPSKは実際の通信で使用する共通鍵そのものではありませんが、詳細は略 個人／機器毎の接続可否制御ができない 退職者・紛失・異動等によるPSKの流出に弱い PSKの更新に手間がかかる PSK方式は 企業ユース には向かない

10 下記はIEEE802.1x で規定する認証規格の概要。無線・有線の双方で使用される。
LANアクセスの認証制御機能 企業ユースの無線LANには、以下のようなアクセス制御機能が必要です。 下記はIEEE802.1x で規定する認証規格の概要。無線・有線の双方で使用される。 Ａさん 接続させて ください 無線LAN-AP 接続申請がありました 認証局 このAPは確かに本物か？ AP認証 本当にＡさんか？ 個人認証 これは接続を許可 した端末か？ 端末認証 接続を許可する IEEE802.1x 認可 この種をもとにしてマスター鍵を作れ 鍵のタネ生成 マスター鍵配布 マスター鍵のタネ配布

11 WPA2 パーソナル 対 エンタープライズ WPA2パーソナルとエンタープライズでは暗号化プロトコル／アルゴリズムに差は無いが、認証局の有無と鍵の配布方法に差があり、エンタープライズのほうがセキュリティレベルが高い。パーソナルのほうが手軽に構築可能。 WPA2パーソナル WPA2エンタープライズ 認証局の有無 不要 必要 鍵の配布方法 事前共有 （全利用者で共通、長期変わらない） 認証局より配布 （認証毎に異なる） 暗号化プロトコル／アルゴリズム AES-CCMP が基本 （TKIPも使えます）

12 共通鍵の生成と暗号化ブロック管理 マスター鍵 通信文 共通鍵1 暗号化 アルゴ ブロック化 リズム ロジック 共通鍵2 共通鍵3 共通鍵生成
実際に通信で用いる共通鍵は同じものを長時間使用しないように制御されます。 長い通信文は暗号化の単位長に合わせてブロック化されます。 マスター鍵 通信文 長い通信文を暗号化の単位長に合わせてブロック化する（詳細略。単純分割ではない） マスター鍵は送信側・受信側で同じものを持ち、これをもとにして動的に共通鍵を生成する。完全に同一の共通鍵は一度しか使われない。 共通鍵生成 ロジック ブロック1 共通鍵1 暗号化 アルゴ リズム 暗号ブロック1 ブロック化 ロジック ブロック2 共通鍵2 暗号ブロック2 ブロック3 共通鍵3 暗号ブロック3 完全性検証 ロジック MAC 受信側へ MICと呼ばれる場合もある。

13 TKIP (Transient Key Integrity Protocol)
WPA ＝ RC4とTKIPが基本 WPA（WPA2の1つ前）の規格では、暗号化アルゴリズムはRC4(WEPと同じ) 、 TKIPはそれ以外の共通鍵生成、ブロック化、完全性検証などのロジックの総称。 注：WPAでもAESとCCMPを選択することは可能 WPA (エンタープライズ) 認証局 認証・鍵配布 無線LAN-AP IEEE802.1x、EAP 鍵生成・交換 通信文 TransientKey RC4 共通鍵生成 ロジック ブロック1 共通鍵1 暗号化 アルゴ リズム 暗号ブロック1 ブロック化 ロジック ブロック2 共通鍵2 暗号ブロック2 ブロック3 共通鍵3 暗号ブロック3 完全性検証 ロジック MAC 受信側へ TKIP CRC32, Michael TKIP (Transient Key Integrity Protocol)

14 CCMP (Counter mode with CBC-MAC Protocol)
WPA2 = AESとCCMPが基本 WPA2では暗号化アルゴリズムはAESを標準とし、暗号化プロトコルを総称してCCMPと呼ぶ 注：WPA2でもRC4とTKIPを選択することは可能 WPA2(エンタープライズ) 認証局 認証・鍵配布 無線LAN-AP KRACKはこの部分で行われる4-way-handshakeに対する攻撃。共通鍵生成のマスターとなる TransientKeyの強度を落とす (WPA2パーソナルも同じ脆弱性あり。WPAも同様） IEEE802.1x、EAP 鍵生成・交換 通信文 TransientKey AES 共通鍵生成 ロジック ブロック1 共通鍵1 暗号化 アルゴ リズム 暗号ブロック1 ブロック化 ロジック ブロック2 共通鍵2 暗号ブロック2 ブロック3 共通鍵3 暗号ブロック3 完全性検証 ロジック MAC 受信側へ CTR CBC-MAC CCMP (Counter mode with CBC-MAC Protocol)

15 （共通鍵生成・ブロック化・完全性検証などを含む体系）
WEP、WPA、WPA2関連用語の混乱？ 一般のネットワーク機器では「暗号化アルゴリズム」はハードウェア処理されているため、ソフトウェアの更新では対応できない。WEPに脆弱性が発見されたとき、既に導入されている機器を短期間で交換することは非現実的だったため、暗号化アルゴリズムはRC4のままでプロトコルを変更することによって暫定的にセキュリティ強化をする必要に迫られた。そこで作られたのがWPAであり、ここでTKIPが採用されたため WPA-TKIP と呼ばれることも多い。 一方、WPA2では暗号化アルゴリズムとして、より強力なAESを標準としている。プロトコルもCCMPが標準に変わったものの、AESの標準採用のほうが心理的インパクトがあるため、WPA2-AESと呼ばれることがある。しかし本来はTKIPもAESもWPAやWPA2の別名ではなく、それらを構成する一部の技術／規格の名称である。 WEP WPA WPA2 暗号化 アルゴリズム RC4 RC4 (必須) AES (任意) RC4 (任意) AES (必須) 暗号化プロトコル （共通鍵生成・ブロック化・完全性検証などを含む体系） WEP TKIP (必須) CCMP (任意) TKIP (任意) CCMP (必須) 補足 最も初期の無線LANセキュリティ規格。非常に脆弱 WEPの脆弱性を当座しのぐためのピンチヒッター 暗号化アルゴリズムにAESを標準とするよう強化した規格。現在の主流

16 お問合せおよびご感想受付 本書への質問、感想を歓迎します。下記お問い合わせ先へお送りください。
お問い合わせ先 ： 著者プロフィール　開米 瑞浩 IT技術者として働くうちに、複雑な情報をわかりやすく表現する必要性を感じ、その技術を研究。その経験を活かし、 2003年に社会人研修業務を起業。情報を論理的に整理し図解して「見える化」する技術と習慣の啓蒙・普及に取り組んでいる。 　担当プログラム 　　　□エンジニアの文章図解・情報整理術 　　　□エンジニアのプレゼンテーション講座 　　　□難解な文書の持ち込み改善ワークショップ 　 公開講座・講演等実績 　　　中部産業連盟　　　日本テクノセンター　　SMBCコンサルティング 　　　日経BP社　その他、電機メーカー／航空サービス／光学機器メーカー等 　 著書等 　　　2017年 3月　日経SYSTEMS誌3月号　ロジカルシンキング特集 　　　2016年12月　（書籍）エンジニアを説明上手にする本　　　　　　翔泳社 　　　2014年 6月　 （書籍）エンジニアのための伝わる書き方講座　　　技術評論社 　　　2010年10月　 （書籍）エンジニアのための図解思考再入門講座　　翔泳社