wifiの暗号種別を調べてみました

わんくま同盟大阪勉強会 #57

Wifiの暗号種別を調べてみました

印刷用資料By　KawaKawa


自己紹介

● 名前：Ｋａｗａｋａｗａ

● 住所：大阪堺市

● 職業：プログラマー

● 好きな言語：Ｃ＃

● 興味がある事：　開発フレームワーク

　　　　　　　　　　　アジャイル・スクラム

　　　　　　　　　　　ＴＤＤなども


みなさん、暗号好きですよね？

暗号には

ロマンがあります



暗号には

歴史があります



● 詳細はこちらを読んでみて下さい。

● 「暗号解読」　著者：サイモン・シン

● 古代から続く暗号の歴史を、ストーリを絡めて紹介






● エニグマすげー！






● エニグマすげー

● それを解読する

超人もっとすげー！


そんな理由で、今回は暗号の話をさせて頂きます。

● 身の回りには、暗号技術が多数使われています。

● その中には、何となく使用している暗号も多数あります。



● 私にとって、Ｗｉｆｉがそんな

暗号技術でした。



● 調べてみると、興味をそそる技術やロマンが多数ありました。

● その面白さを少しでも紹介したいと思います。


Ｗｉｆｉの暗号種別一覧

暗号種別大きく分けて、

３種類あります。

● ＷＥＰ

● ＷＰＡ　（ＴＫＩＰ・ＡＥＳ）

● ＷＰＡ２（ＴＫＩＰ・ＡＥＳ）


Ｗｉｆｉの暗号の強度順

下の者ほど、強度が強く

なります。

● ＷＥＰ

● ＷＰＡ　（ＴＫＩＰ・ＡＥＳ）

● ＷＰＡ２（ＴＫＩＰ・ＡＥＳ）


Ｗｉｆｉの暗号の強度順

正確には、WPA、WPA2ともに

TKIP、AESの組み合わせが

ありますので、

正しい強度順となると・・・


暗号の強度は？

正確な強度順はこんな形になります

● ＷＥＰ

● ＷＰＡ－ＰＳＫ（ＴＫＩＰ）

● ＷＰＡ２－ＰＳＫ（ＴＫＩＰ）

● ＷＰＡ－ＰＳＫ（ＡＥＳ）

● ＷＰＡ２－ＰＳＫ（ＡＥＳ）


　

それでは早速、

Ｗｉｆｉ暗号の歴史を

見ていきたいと思います。


暗号の歴史は、強度の歴史

● ＷＥＰから始まり、徐々に強度が強くなっていったＷｉｆｉ暗号。

● それは、脆弱性との戦いの結果でもあります。


暗号の歴史は、強度の歴史

● それでは、一番最初の暗号であるＷＥＰを紹介することによって、如何に脆弱性を見つけられ、如何に対処していったのでしょうか


ＷＥＰとは？

● 登場は意外と最近の１９９７年


ＷＥＰとは？


● 当初は、有線LANの代わりになるものと期待されていた


ＷＥＰとは？



● だから、名前の

「Wired Equivalent Privacy」は・・・・


ＷＥＰとは？



● だから、名前の

「Wired Equivalent Privacy」は・・・・

直訳すると、「有線接続時と同様のプライバシー機能」の意味


ＷＥＰとは？

● 秘密鍵（共通鍵）暗号形式


ＷＥＰとは？

● 秘密鍵（共通鍵）暗号形式

● よく聞く、ＷＥＰ40bitや、ＷＥＰ128bitは、暗号に使用する秘密鍵の長さを意味します


ＷＥＰとは？

● 2003年頃から、お手軽なハッキング方法が次々と発見。


ＷＥＰとは？

● 2003年頃から、お手軽なハッキング方法が次々と発見。

● ハッキングツールも多数公開され、現在は使用非推奨とされています


ＷＥＰの暗号特徴

暗号の特徴は、

当時の時代背景を表したものとなっています。



● 暗号キーの生成方法が単純




● 暗号・復号の処理が早い





● 暗号キーの更新機能がない






● データ改ざん検知機能はなし






● データ改ざん検知機能はなし

● 暗号ロジックはＲＣ４


ＲＣ４とは？

● 米RSA Security社が開発した共有鍵暗号

● ＸＯＲ論理演算

● RC4はbyte単位で暗号化していくストリーム暗号形式

（固定長で暗号化するのは、ブロック暗号。DES（Data Encryption Standard）が有名）

● ユーザが鍵を作成します（５文字or１３文字）

（５文字なのは、当初アメリカが暗号輸出を制限していたため）

● その鍵にIV（Initialization Vector、初期化ベクタ）を付与して、暗号用のSeedとします。


ＩＶ（初期化ベクタ）って何？

ストリーム暗号形式とは、前の暗号結果を利用して、次の平文の暗号に利用するものなので、暗号化最初では、利用する前の暗号結果がありませんので、代わりにＩＶを使用します。



こんなイメージ

ＩＶ（初期ベクタ）（24bit)

暗号結果１

暗号結果２

前の暗号結果を使って次々に暗号化していく



● WEP鍵は頻繁に更新することが出来ないため、多少なりとも暗号Ｓｅｅｄの推定されるのを防ぐために、多少なりともランダム化して推定されないように付与。

● もしＷＥＰ鍵だけの場合、ＲＣ４暗号は周知の計算なので、平文と暗号化文から、ＷＥＢ鍵が推測できてしまう。

● よって、ＩＶを変化させることによって暗号Ｓｅｅｄを変化させ、ＷＥＰ鍵を推測されないようにしている

● しかし、通信相手にはＩＶを知らせる必要があるため、通信電文にＩＶを平文のまま付与します。


ＷＥＰの仕組みのイメージ図

ユーザが指定した文字列（５文字or１３文字）

ＩＶ（初期ベクタ）（24bit)

暗号用Seed（64bit／128ｂｉｔ）

擬似乱数ジェネレータ（PRNG）

元の文章ＲＣ４暗号化

暗号化された文章ＩＶ（初期ベクタ）

（24bit) 送信されるデータ


　

ここでデモ！


デモが失敗した時用の保険

● Ｃ＃で簡単に暗号化を試すことができます

● ＲＣ２暗号ですが、実際に暗号、復号を試してみたいと思います。



MSDNの

「.NET Framework の暗号モデル」

http://msdn.microsoft.com/ja-jp/library/0ss79b2x(v=vs.110).aspx

に記載されてます。





これだけで、暗号化できます



でも、注意書きにこう書かれています。

新しい対称暗号化アルゴリズム、Advanced Encryption Standard (AES) は、使用できます。

RC2CryptoServiceProvider のクラスの代わりに Aes のアルゴリズムと派生クラスの使用を検討してください。

レガシアプリケーションとデータの互換性のためだけに RC2CryptoServiceProvider を使用します。


　

デモ終了


　

では、皆さん

ＷＥＰのどこに

脆弱性がありましたか？


では、世間一般的に言われるＷＥＰの脆弱性とは？

● 皆さん気づいていると思われますが・・・

● ＷＥＰでは、ＩＶを平文で送信しています



● そこで解析者達は、ＲＣ４の暗号自体を突破するのではなく、

このＩＶを解析することによって、ＷＥＰ鍵を得ようと試みました



● ＷＥＰ解析の歴史は、如何に効率よくＩＶを収集し、解析していくかの歴史となりました



● ＷＥＰ解析の歴史は、如何に効率よくＩＶを収集し、解析していくかの歴史となりました。

● ちなみにＩＶの組合せは、２４ｂｙｔｅで約1,600万通り


ＷＥＰ解析の歴史　その１

ARPリジェクション攻撃



ARPリジェクション攻撃

● ARPとはIPアドレスからMACアドレスを問い合わせるプロトコル

● ターゲットとする無線LANアクセスポイントへ大量のARPリクエストを送ります。

● 解析に必要なIVを大量に収集します。



ARPリジェクション攻撃の問題点

● 解析するのに、数十万パケットを取集する必要がある

● 短時間で鍵を導出するためには、高速にパケットを収集する必要がある

● しかし、実際の環境で数十万パケットを短時間で収集することは困難


ＷＥＰ解析の歴史　その２

神戸大学大学院教授

森井昌克先生の手法



神戸大学大学院教授　森井昌克先生の手法

● 2008年、一瞬でWEP鍵を解読することに成功します。




● 2008年、一瞬でWEP鍵を解読することに成功します。

● ARPだけでなく、通常パケットからも、

暗号文を取得




● 従来、特定ＩＶにだけで行っていた鍵推測を、鍵の暗号パターンから全パケットに対して、パケット位置を特定し、鍵を推測




● 従来、特定ＩＶにだけで行っていた鍵推測を、鍵の暗号パターンから全パケットに対して、パケット位置を特定し、鍵を推測

● 20MBのパケット量程度で、

推測できてしまう



これにより、

ＷＥＰの息の根は、

止められることになりました。

(- -)∧ 合掌


　

まだだ、

まだ、ＷＥＰは

終わってないぜ！


　

そこで、登場

ＷＰＡＷ・Ｐ・Ａ！Ｗ・Ｐ・Ａ！


そこで登場ＷＰＡ！

● 実は、ＷＥＰの当初から脆弱性は指摘されていて、次の規格策定（ＷＰＡ２の事）をずっと進められていたのですが、なかなか決まらなかったので、その間の補完規格として登場



● 基本的には、ＷＥＰ規格を改良させた形

● 乱暴に説明すると、ＷＥＰに比べて鍵とＩＶを倍に大きくした規格！



● そして、ＷＰＡの登場が、

暗号種別を、複雑にしてしまいました。


ＷＰＡからややこしくなる規格の名称・・・

● 一言でＷＰＡと言っても、その中身は、

・Ｐｅｒｓｏｎａｌなのか、Ｅｎｔｅｒｐｒｉｓｅなのか

・ＴＫＩＰなのか、ＡＥＳなのか

この２種の組合せで決まります。

● よくＷＰＡ＝ＴＫＩＰ、このあと紹介する

ＷＰＡ２＝ＡＥＳと記載されているＨＰもあります。正しくはありませが・・・そう思って頂いても問題はないかと思います（汗


まずは簡単なところで、ＰｅｒｓｏｎａｌとＥｎｔｅｒｐｒｉｓｅの違い

Ｐｅｒｓｏｎａｌとは

● ＰＳＫモードとも記載されます。

● 家庭など小規模なネットワークでの使用を想定

● 認証サーバを使用しません


まずは簡単なところで、ＰｅｒｓｏｎａｌとＥｎｔｅｒｐｒｉｓｅの違い

Ｅｎｔｅｒｐｒｉｓｅとは

● 企業などの大規模なネットワークでの使用を想定

● IEEE 802.1X対応の認証サーバを用いて端末の認証を行う


　

ここでちょいと休憩。

なんで認証サーバが必要なの？


ここでちょいと休憩。なんで認証サーバが必要なのか。

● 暗号通信では、暗号キーのデータを、平文のまま流すことなく、如何に暗号キーが同一であるかどうかを相互に確認する事が重要となります。



● そこで考えられたのが、

CHAP認証（チャレンジ＆レスポンス認証）

● ＰＰＰ通信などで使用されてます



認証手順

（１）認証サーバ側で「チャレンジ値」というランダムな値を送信

（２）受信したクライアント側はその値を自分の暗号キーで暗号化して、その結果をサーバ側に返信

（３）サーバ側でも、送信したチャレンジ値を自分の持つキーで暗号化して、それを受信した暗号化の結果と比較する（もしくは自分のキーで復号化して、送信した値と同じか比較）。

（４）同一であれば、両者の持つキーは一致しているとみなされます。



台数が増えるとこの処理が手間となるので、認証サーバが必要となります。


　

雑談終了。

それでは、ＷＥＰとＷＰＡ

何が変わったのでしょうか？


ＷＥＰとＷＰＡの同じ箇所

同じ箇所

● ＷＰＡはＷＥＰを継承しつつもセキリティ脆弱性に対応。

● 暗号自体が破られてはいないので、ＷＥＰと同じ「ＲＣ４」暗号形式


ＷＥＰとＷＰＡの同じ箇所、違う箇所

違う箇所

● 暗号鍵を１２８Ｂｉｔに増加＆統一

● ＩＶを２４⇒４８Ｂｉｔに増加

● 暗号Ｓｅｅｄの作成を単結合から、複雑な計算方式へ

● 通信相手ごとに暗号キーを変更（ＭＡＣアドレスのハッシュ値を暗号キーに含ませる）

● 暗号キーの更新機能追加

● データ改ざん検知機能を追加


ＷＰＡとＷＥＰの互換性

● ＷＰＡはＷＥＰを継承して策定された規格なので、ＷＥＰから多くが互換性を保たれました

● 暗号形式が「ＲＣ４」で同じなので、ハードそのままにソフトウェアの更新で、ＷＰＡに対応可能

● 暗号処理がハード処理からソフト処理になったので、動作が遅くなってしまった


ＴＫＩＰの特徴

● TKIP（Temporal Key Integrity Protocol）● 端末のMACアドレスや擬似乱数などを元

に、一時的な暗号鍵を生成する

● WEPと異なり端末ごとに暗号鍵が異なる

● しかも一定量の通信が行われるごとに更新

● 改ざんを防ぐ機能も保持



ということで、

ＷＰＡの規格（鍵長、更新頻度）に、

暗号形式はＴＫＩＰを使ったものが、

ＷＰＡ（ＴＫＩＰ）と思って頂いてＯＫです。

暗号鍵にＡＥＳを使ったら、

ＷＰＡ（ＡＥＳ）です。



一時の危機を脱したと思われた

ＷＰＡ（ＴＫＩＰ）。

しかし、魔の手はすぐに伸びてきたのでした。


ＴＫＩＰの脆弱性・・・

● ＷＥＰ規格を拡張したところを狙われた

● 2008年、ドイツの研究者M.BeckとE.Tewsが発表



● 暗号的にセキュアでないチェックサム機構（CRC32）を足掛かりに、鍵を推測して偽装パケットを作成。

● しかしＴＫＩＰには、連続攻撃に対応する「MICHAEL（メッセージ完全性チェック）」機能があり、60秒間に不正と判断するパケットを2回受信すると、セッション鍵を再発行するので、当脆弱性には、対応できていると思われていた。



● ここで再び登場、森井先生。

２０１０年、ARPパケットを使用することで、効率的に鍵を推測できることを証明しました。

(- -)∧ 合掌


ついに、

真打登場


いよいよ本命、ＷＰＡ２－ＡＥＳの登場

● 規格化に時間が掛かっていた

ＷＰＡ２－ＡＥＳがいよいよ登場。





● ＷＥＰ⇒ＷＰＡ－ＴＫＩＰと続いていた、規格の負債を排除。





● ＷＥＰ⇒ＷＰＡ－ＴＫＩＰと続いていた、規格の負債を排除。

● 互換性は無くなるものの、強い暗号強度を持つ事ができました


ＷＰＡ２の特徴

● 暗号方式を「ＲＣ４」からＡＥＳを使用したＯＣＭＰ(Counter-mode CBC-MAC Protocol）に変更

● AES（Advanced　Encryption　Standard）

● 下位互換を諦めた為、というよりはＡＥＳ暗号は重い処理なので、暗号化をハード処理へ変更

● 基本的な規格内容はＷＰＡと同様


ＷＰＡ－ＡＥＳ、ＷＰＡ２－ＴＫＩＰって何？

● どちらも、拡張機能。必須機能ではないので、機能の有無はメーカ次第。

● ＷＰＡ－ＡＥＳは、ハードが対応していないとダメ

● ＷＰＡ－ＡＥＳとＷＰＡ２－ＡＥＳの違いは、鍵の配信方式らしい。某ＮＥＣのページには同じと書かれているけど、それは「セキリティ安全レベルでは同等」という意味であり、同じ規格内容という意味ではない。

● ＷＰＡ２－ＴＫＩＰ、通信相手がＡＥＳに対応していない時に使用するなど書かれていますが・・・ＷＰＡ２通信の時点でＡＥＳ対応必須のはずですので、正直謎です。どこで使うんだろう・・・？


ＷＰＡ２－ＡＥＳの脆弱性

● 今のところ一番安全な規格

● でも、力技（総当たり）で解析するツールは登場してきています。

● でも特殊環境・特殊条件下での解読なので、実生活での解読にはまだまだ時間がかかりそう。

● でも、いつかは森井先生が・・・


次世代の暗号規格は？

● まだまだＡＥＳの時代は終わらない。

● チップの小型化により、色々な製品にますます取り込まれている状況。

● そもそもＡＥＳ策定時に、３０年以上通用する暗号強度を有するという条件をクリアしている（誰が判定したんだろう？）

● 世間的には、公開鍵の新規格が続々検討されているようです（ペアリング暗号、インテリジェント暗号などなど）

● ＡＥＳの次は、公開鍵方式になるのかもしれません。

（個人的には、量子暗号に期待しています）


　

ご清聴ありがとうございました。

wifiの暗号種別を調べてみました

Technology