WPA キー、WPA2、WPA3、および WEP キー:Wi-Fi セキュリティの説明

新しい Wi-Fi を設定しますか？必要なパスワードの種類を選択することは、恣意的な選択のように思えるかもしれません。結局のところ、WEP、WPA、WPA2、および WPA3 にはほとんど同じ文字が含まれています。

パスワードはパスワードなので、違いは何ですか?結局のところ、約 60 秒から数十億年です。

すべての Wi-Fi 暗号化が同じように作成されているわけではありません。これら 4 つの頭字語が異なる理由と、自宅と組織の Wi-Fi を保護する最善の方法を探りましょう。

有線と同等のプライバシー (WEP)

最初は WEP がありました。

Wired Equivalent Privacy は、1997 年に廃止されたセキュリティ アルゴリズムで、有線接続と同等のセキュリティを提供することを目的としていました。 「非推奨」とは、「もうやめましょう」という意味です。

最初に導入されたときでさえ、次の 2 つの理由から、本来あるべきほど強力ではないことが知られていました:

• その基礎となる暗号化メカニズム、および
• 第二次世界大戦

第二次世界大戦中、コード解読 (または暗号解読) の影響は巨大でした。政府は、最高の秘伝のレシピを自宅に保管しようとすることで対応しました.

WEP の頃、暗号化技術の輸出に対する米国政府の制限により、アクセス ポイントの製造元はデバイスを 64 ビット暗号化に制限するようになりました。これは後に 128 ビットに引き上げられましたが、この形式の暗号化でも非常に限られた鍵サイズしか提供できませんでした.

これは、WEP にとって問題であることが判明しました。キーのサイズが小さいと、特にそのキーが頻繁に変更されない場合に、ブルート フォース攻撃が容易になります。

WEP の基礎となる暗号化メカニズムは、RC4 ストリーム暗号です。この暗号は、その速度と単純さから人気を博しましたが、それには代償が伴いました。

これは最も堅牢なアルゴリズムではありません。 WEP は、アクセス ポイント デバイスに手動で入力する必要があるユーザー間で単一の共有キーを使用します。 (最後に Wi-Fi パスワードを変更したのはいつですか?そうです。)

WEP は、キーを初期化ベクトルと単純に連結することによっても問題を解決しませんでした。つまり、秘密のソースのビットを一緒にマッシュアップし、最善を期待したのです。

初期化ベクトル (IV):低レベルの暗号化アルゴリズムへの固定サイズの入力で、通常はランダムです。

RC4 の使用と組み合わせることで、WEP は特に関連キー攻撃を受けやすくなりました。 128 ビット WEP の場合、Wi-Fi パスワードは、公開されているツールによって約 60 秒から 3 分で解読できます。

一部のデバイスは 152 ビットまたは 256 ビットの WEP バリアントを提供するようになりましたが、これは WEP の基礎となる暗号化メカニズムの根本的な問題を解決できませんでした.

それで、ええ。もうやめましょう。

Wi-Fi Protected Access (WPA)

新しい暫定標準は、WEP のセキュリティ (不足) の問題を一時的に「修正」することを目的としていました。 Wi-Fi Protected Access (WPA) という名前は確かに聞こえます より安全なので、それは良いスタートです。ただし、WPA は最初、別のよりわかりやすい名前で始まりました。

2004 IEEE 標準で承認された Temporal Key Integrity Protocol (TKIP) は、動的に生成されたパケットごとのキーを使用します。送信された各パケットには、一意の一時的な 128 ビット キー (参照? 説明的!) があり、WEP の共有キー マッシングによって引き起こされる関連キー攻撃に対する脆弱性を解決します。

TKIP は、メッセージ認証コード (MAC) などの他の手段も実装します。チェックサムとも呼ばれる MAC は、メッセージが変更されていないことを確認するための暗号化された方法を提供します。

TKIP では、無効な MAC によってセッション キーのキー更新がトリガーされることもあります。アクセス ポイントが無効な MAC を 1 分間に 2 回受信した場合、攻撃者がクラックしようとしているキーを変更することで、侵入の試みに対抗できます。

残念ながら、WPA が「パッチを当てる」ことを意図していた既存のハードウェアとの互換性を維持するために、TKIP は WEP と同じ基礎となる暗号化メカニズム (RC4 ストリーム暗号) の使用を保持しました。

TKIP は確かに WEP の弱点を改善しましたが、最終的に、WEP に対する以前の攻撃を拡張する新しい攻撃に対して脆弱であることが判明しました。

比較すると、これらの攻撃の実行には少し時間がかかります。たとえば、ある攻撃では 12 分、別の攻撃では 52 時間かかります。ただし、これは TKIP がもはや安全ではないとみなすには十分すぎるほどです。

WPA (TKIP) も廃止されました。ですから、それももうやめましょう。

Wi-Fi Protected Access II (WPA2)

改良された Wi-Fi Protected Access II (WPA2) 標準では、まったく新しい名前を考え出すために労力を費やすのではなく、新しい基礎となる暗号を使用することに重点を置いています。

RC4 ストリーム暗号の代わりに、WPA2 は Advanced Encryption Standard (AES) と呼ばれるブロック暗号を採用して、暗号化プロトコルの基礎を形成します。

CCMP と略されるプロトコル自体は、かなり長い名前 (冗談です) からそのセキュリティのほとんどを引き出します。プロトコル、または CCMP。 ?

CCM モードは基本的に、いくつかの優れたアイデアを組み合わせたものです。 CTR モードまたはカウンター モードを通じてデータの機密性を提供します。非常に単純化すると、繰り返されないカウント シーケンスの連続する値が暗号化されるため、平文データが複雑になります。

CCM は、MAC を構築するためのブロック暗号方式である CBC-MAC も統合します。

AES 自体は順調です。 AES 仕様は、2001 年に米国国立標準技術研究所 (NIST) によって確立されました。彼らは、アルゴリズム設計の 15 の提案が評価された 5 年間の競争選択プロセスの後に選択を行いました。

このプロセスの結果、Rijndael (オランダ語) と呼ばれる暗号のファミリーが選択され、これらのサブセットが AES になりました。

20 年以上にわたって、AES は毎日のインターネット トラフィックと、米国政府の特定レベルの機密情報を保護するために使用されてきました。

AES に対する攻撃の可能性については説明されていますが、実際の使用で実用的であることが証明されたものはまだありません。一般に知られている AES に対する最速の攻撃は、ブルート フォーシング AES を約 4 倍改善したキー回復攻撃です。どのくらいかかりますか？数十億年。

Wi-Fi Protected Access III (WPA3)

2020 年 7 月 1 日以降、新しいデバイスには WPA 三部作の次の分割払いが必要です。WPA2 のセキュリティをさらに強化することが期待されている WPA3 標準は、単語リストまたは辞書攻撃に対する回復力を高めることで、パスワードのセキュリティを改善しようとしています。

以前のバージョンとは異なり、WPA3 は前方秘匿性も提供します。これにより、長期の秘密鍵が危険にさらされた場合でも、以前に交換された情報を保護できるという大きな利点が追加されます。

Forward Secrecy は、非対称キーを使用して共有キーを確立することにより、TLS などのプロトコルによって既に提供されています。 TLS の詳細については、この投稿をご覧ください。

WPA2 は廃止されていないため、WPA2 と WPA3 の両方が Wi-Fi セキュリティの最有力候補のままです。

​​他のものが良くないのに、なぜまだ残っているのですか?

なぜアクセス ポイントで WPA2 または WPA3 以外のオプションを選択できるのか疑問に思われるかもしれません。考えられる理由は、技術者がお母さんのルーターと呼んでいるレガシー ハードウェアを使用していることです。

WEP と WPA が廃止されたのはごく最近のことなので、大規模な組織や実家では、これらのプロトコルをまだ使用している古いハードウェアを見つけることができます。新しいハードウェアでも、これらの古いプロトコルをサポートするビジネス ニーズがある場合があります。

ピカピカの新しい最上位の Wi-Fi アプライアンスに投資するよう説得できるかもしれませんが、ほとんどの組織は別の話です。残念ながら、多くの人は、顧客のニーズを満たし、収益を向上させる上でサイバーセキュリティが果たす重要な役割をまだ認識していません.

さらに、新しいプロトコルに切り替えるには、新しい内部ハードウェアまたはファームウェアのアップグレードが必要になる場合があります。特に大規模な組織の複雑なシステムでは、デバイスのアップグレードは財政的または戦略的に困難な場合があります。

Wi-Fi セキュリティを強化

オプションの場合は、WPA2 または WPA3 を選択します。サイバーセキュリティは日々進化する分野であり、過去にとらわれていると悲惨な結果を招く可能性があります.

WPA2 または WPA3 を使用できない場合は、追加のセキュリティ対策を講じるために最善を尽くしてください。

費用対効果が最も高いのは、仮想プライベート ネットワーク (VPN) を使用することです。どのタイプの Wi-Fi 暗号化を使用していても、VPN を使用することをお勧めします。オープン Wi-Fi (コーヒー ショップ) で WEP を使用している場合、VPN なしで行くのは明らかに無責任です。

2 つ目のカプチーノを注文するときに、銀行口座の詳細を大声で叫ぶようなものです。

VPN が切断された場合にネットワーク トラフィックをブロックするキル スイッチなどの機能を提供する VPN プロバイダーを選択します。これにより、オープン Wi-Fi や WEP などの安全でない接続で誤って情報を送信することを防ぎます。この投稿では、VPN を選択する際の上位 3 つの考慮事項について詳しく説明しました。

可能であれば、自分または自分の組織が管理している既知のネットワークにのみ接続するようにしてください。

多くのサイバーセキュリティ攻撃は、被害者が偽の公衆 Wi-Fi アクセス ポイントに接続したときに実行されます。これは、悪の双子攻撃または Wi-Fi フィッシングとも呼ばれます。

これらの偽のホットスポットは、公開されているプログラムやツールを使用して簡単に作成できます。 VPN は、これらの攻撃による被害を軽減するのにも役立ちますが、常にリスクを負わない方がよいでしょう.

頻繁に旅行する場合は、セルラー データ プランを使用するポータブル ホットスポットを購入するか、すべてのデバイスでデータ SIM カードを使用することを検討してください。

頭字語だけではありません

WEP、WPA、WPA2、および WPA3 は、似たような文字の束よりもはるかに多くの意味を持ちます。場合によっては、数十億年から約 60 秒を差し引いた差になります。

今っぽいタイムスケールで、Wi-Fi のセキュリティとその改善方法について何か新しいことを教えていただければ幸いです!

この投稿を楽しんでいただけましたら、ぜひお知らせください。 victoria.dev で私と一緒に学ぶ何千人もの人々に加わりましょう! RSS にアクセスするか購読して、プログラミング、サイバーセキュリティ、漫画のダッド ジョークなどをご覧ください。