WPAキー、WPA2、WPA3、およびWEPキー:Wi-Fiセキュリティの説明

新しいWi-Fiをセットアップしますか?必要なパスワードの種類を選択することは、恣意的な選択のように思えます。結局のところ、WEP、WPA、WPA2、およびWPA3には、ほとんど同じ文字が含まれています。

パスワードはパスワードですが、違いは何ですか?結局のところ、約60秒から数十億年です。

すべてのWi-Fi暗号化が同じように作成されるわけではありません。これらの4つの頭字語の違いと、自宅や組織のWi-Fiを最適に保護する方法を見ていきましょう。

Wired Equivalent Privacy(WEP)

当初、WEPがありました。

WEPイラスト

Wired Equivalent Privacyは、有線接続に同等のセキュリティを提供することを目的とした、1997年から廃止されたセキュリティアルゴリズムです。「非推奨」とは、「もうそれをやめましょう」という意味です。

それが最初に導入されたときでさえ、2つの理由でそれがあり得たほど強くないことが知られていました:

  • その基盤となる暗号化メカニズム、および
  • 第二次世界大戦。

第二次世界大戦中、コード解読(または暗号解読)の影響は甚大でした。政府は、最高のシークレットソースレシピを自宅に保管しようとすることで対応しました。

WEPの頃、暗号化技術の輸出に対する米国政府の制限により、アクセスポイントの製造元はデバイスを64ビット暗号化に制限していました。これは後で128ビットに引き上げられましたが、この形式の暗号化でさえ、可能なキーサイズは非常に限られていました。

これはWEPにとって問題であることが判明しました。キーのサイズが小さいため、特にそのキーが頻繁に変更されない場合は、ブルートフォース攻撃が容易になりました。

WEPの基盤となる暗号化メカニズムは、RC4ストリーム暗号です。この暗号は、その速度と単純さのために人気を博しましたが、それにはコストがかかりました。

これは最も堅牢なアルゴリズムではありません。WEPは、アクセスポイントデバイスで手動で入力する必要があるユーザー間で単一の共有キーを採用しています。(最後にWi-Fiパスワードを変更したのはいつですか?そうです。)

WEPは、キーを初期化ベクトルと単に連結することによっても問題を解決しませんでした。つまり、WEPは、秘密のソースビットをマッシュアップして、最高のものを期待していました。

初期化ベクトル(IV):低レベルの暗号化アルゴリズムへの固定サイズの入力。通常はランダムです。

RC4の使用と組み合わせると、WEPは特に関連キー攻撃の影響を受けやすくなります。128ビットWEPの場合、Wi-Fiパスワードは、公開されているツールによって約60秒から3分で解読される可能性があります。

一部のデバイスは152ビットまたは256ビットのWEPバリアントを提供するようになりましたが、これではWEPの基盤となる暗号化メカニズムの根本的な問題を解決できませんでした。

だから、ええ。もうそんなことはしないようにしましょう。

Wi-Fi Protected Access(WPA)

WPAイラスト

新しい暫定規格は、WEPの(欠如した)セキュリティの問題を一時的に「パッチ」することを目的としていました。Wi-Fi Protected Access(WPA)という名前は確かにより安全に聞こえるので、それは良いスタートです。ただし、WPAは最初、別のよりわかりやすい名前で始まりました。

2004 IEEE標準で承認された、Temporal Key Integrity Protocol(TKIP)は、動的に生成されたパケットごとのキーを使用します。送信される各パケットには、WEPの共有キーマッシングによって引き起こされる関連キー攻撃に対する感受性を解決する一意の一時的な128ビットキー(「説明」を参照)があります。

TKIPは、メッセージ認証コード(MAC)などの他の手段も実装します。チェックサムとも呼ばれるMACは、メッセージが変更されていないことを確認するための暗号化された方法を提供します。

TKIPでは、無効なMACがセッションキーのキーの再生成をトリガーすることもあります。アクセスポイントが1分以内に無効なMACを2回受信した場合、攻撃者が解読しようとしているキーを変更することで、侵入の試みに対抗できます。

残念ながら、WPAが「パッチを適用する」ことを意図した既存のハードウェアとの互換性を維持するために、TKIPはWEPと同じ基本的な暗号化メカニズムであるRC4ストリーム暗号の使用を維持しました。

WEPの弱点は確かに改善されましたが、TKIPは最終的に、以前のWEPへの攻撃を拡張する新しい攻撃に対して脆弱であることが判明しました。

これらの攻撃は、比較すると実行に少し時間がかかります。たとえば、ある場合は12分、別の場合は52時間です。ただし、これはTKIPが安全でなくなったと見なすには十分すぎるほどです。

その後、WPA(TKIP)も非推奨になりました。だから、もうそれをやめましょう。

それは私たちを…

Wi-Fi Protected Access II(WPA2)

WPA2イラスト

改善されたWi-FiProtected Access II(WPA2)標準は、まったく新しい名前を思い付くために努力するのではなく、新しい基盤となる暗号の使用に重点を置いています。

WPA2は、RC4ストリーム暗号の代わりに、Advanced Encryption Standard(AES)と呼ばれるブロック暗号を使用して暗号化プロトコルの基礎を形成します。

プロトコル自体(略してCCMP)は、かなり長い名前の長さからセキュリティの大部分を引き出します(冗談です):カウンターモード暗号ブロック連鎖メッセージ認証コードプロトコル、これはカウンターモードCBC-MACプロトコルまたはCCMモードに短縮されますプロトコル、またはCCMP。?

CCMモードは、基本的にいくつかの優れたアイデアの組み合わせです。CTRモードまたはカウンターモードを通じてデータの機密性を提供します。非常に単純化しすぎると、これにより、繰り返されないカウントシーケンスの連続する値が暗号化されるため、プレーンテキストデータが複雑になります。

CCMは、MACを構築するためのブロック暗号方式であるCBC-MACも統合します。

AES自体は良好な状態にあります。AES仕様は、2001年に米国国立標準技術研究所(NIST)によって確立されました。彼らは、アルゴリズム設計のための15の提案が評価された5年間の競争的選択プロセスの後に彼らの選択をしました。

このプロセスの結果、Rijndael(オランダ語)と呼ばれる暗号のファミリーが選択され、これらのサブセットがAESになりました。

20年の大部分の間、AESは、米国政府の毎日のインターネットトラフィックと特定のレベルの機密情報を保護するために使用されてきました。

AESに対する攻撃の可能性が説明されていますが、実際の使用で実用的であることがまだ証明されているものはありません。公の知識でAESに対する最速の攻撃は、ブルートフォースAESを約4倍改善したキーリカバリ攻撃です。どれくらい時間がかかりますか?数十億年。

Wi-Fi Protected Access III(WPA3)

WPA3イラスト

2020年7月1日以降、新しいデバイスにはWPA三部作の次回の分割払いが必要です。WPA2のセキュリティをさらに強化することが期待されるWPA3標準は、単語リストや辞書攻撃に対する耐性を高めることでパスワードのセキュリティを向上させることを目指しています。

前任者とは異なり、WPA3は前方秘書も提供します。これにより、長期間の秘密鍵が危険にさらされた場合でも、以前に交換された情報を保護するという大きなメリットが追加されます。

Forward Secrecyは、非対称キーを使用して共有キーを確立することにより、TLSなどのプロトコルによってすでに提供されています。TLSについて詳しくは、この投稿をご覧ください。

WPA2は廃止されていないため、WPA2とWPA3の両方がWi-Fiセキュリティの最上位の選択肢であり続けます。

他のものが良くないのなら、なぜ彼らはまだ周りにいるのですか?

アクセスポイントでWPA2またはWPA3以外のオプションを選択できるのはなぜか疑問に思われるかもしれません。考えられる理由は、技術者がお母さんのルーターと呼んでいるレガシーハードウェアを使用していることです。

WEPとWPAの非推奨はごく最近発生したため、大規模な組織や親の家では、これらのプロトコルをまだ使用している古いハードウェアを見つけることができます。新しいハードウェアでさえ、これらの古いプロトコルをサポートするビジネスニーズがあるかもしれません。

光沢のある新しい最高級のWi-Fiアプライアンスに投資するように説得できるかもしれませんが、ほとんどの組織は別の話です。残念ながら、多くの人は、顧客のニーズを満たし、その収益を高める上でサイバーセキュリティが果たす重要な役割をまだ認識していません。

さらに、新しいプロトコルに切り替えるには、新しい内部ハードウェアまたはファームウェアのアップグレードが必要になる場合があります。特に大規模な組織の複雑なシステムでは、デバイスのアップグレードは経済的または戦略的に困難な場合があります。

Wi-Fiセキュリティを強化する

オプションの場合は、WPA2またはWPA3を選択します。サイバーセキュリティは日ごとに進化する分野であり、過去に行き詰まると悲惨な結果を招く可能性があります。

WPA2またはWPA3を使用できない場合は、可能な限り最善を尽くして追加のセキュリティ対策を講じてください。

あなたの支出に見合う最高の価値は、仮想プライベートネットワーク(VPN)を使用することです。どのタイプのWi-Fi暗号化を使用していても、VPNを使用することをお勧めします。オープンWi-Fi(コーヒーショップ)でWEPを使用している場合、VPNなしで行くのは明らかに無責任です。

これは、2つ目のカプチーノを注文するときに銀行の詳細を叫ぶようなものです。

コーヒーショップで銀行の詳細を叫ぶ漫画。

VPNが切断された場合にネットワークトラフィックをブロックするキルスイッチなどの機能を提供するVPNプロバイダーを選択してください。これにより、オープンWi-FiやWEPなどの安全でない接続で誤って情報を送信することを防ぎます。この投稿では、VPNを選択する際の上位3つの考慮事項について詳しく説明しました。

可能であれば、自分または組織が管理している既知のネットワークにのみ接続するようにしてください。

多くのサイバーセキュリティ攻撃は、被害者が悪魔の双子攻撃またはWi-Fiフィッシングとも呼ばれる模倣のパブリックWi-Fiアクセスポイントに接続したときに実行されます。

これらの偽のホットスポットは、公的にアクセス可能なプログラムやツールを使用して簡単に作成できます。VPNは、これらの攻撃による被害を軽減するのにも役立ちますが、リスクを冒さない方が常に良いでしょう。

頻繁に旅行する場合は、セルラーデータプランを使用するポータブルホットスポットを購入するか、すべてのデバイスにデータSIMカードを使用することを検討してください。

頭字語だけではありません

WEP、WPA、WPA2、およびWPA3は、類似した文字の束以上のものを意味します。場合によっては、数十億年から約60秒を引いた差になります。

今ではもっとタイムスケールで、Wi-Fiのセキュリティとそれを改善する方法について何か新しいことを教えていただけたと思います。

この投稿を楽しんだら、私は知りたいです。victoria.devで私と一緒に学ぶ何千人もの人々に加わっ​​てください!プログラミング、サイバーセキュリティ、漫画のお父さんのジョークについては、RSS経由でアクセスまたは購読してください。