パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

空港の公衆無線LANサービスで第三者によって通信内容が簡単に閲覧できることが話題に」記事へのコメント

  • この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。

    ただし、ユーザー側での設定が多少面倒なのが難点です。具体的にユーザー側でどんな操作をする必要があるのかは、Windows 8/8.1 の docomo Wi-Fi (月額300円プラン) の設定方法 [nttdocomo.co.jp]を見ていただけると解りやすいと思います。

    # 何故、[ネットワークがブロードキャストを行っていない場合でも接続する にチェックを入れさせているのかは分かりませんが……。
    # 公衆Wi-Fiのアクセスポイントが、SSIDステルスだということはないですよね。
    # この設定は、プライバシー上の重大なリスクがあります [takagi-hiromitsu.jp]。

    docomo 以外にも、au Wi-Fi SPOT も WPA2-EAP に対応している模様です。

    • by Anonymous Coward

      >この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。
      何が解決するのでしょうか。

      A. 当事者
      B. APへの正当なアクセス権を持つ他者 (=公衆無線LANのユーザー)
      C. APへのアクセス権を持たない他者

      AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。
      Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。
      WindowsやMacで、無線LANアダプタのpromiscuousモードが、デバイスドライバレベルで禁止されているのはそのためです。

      • AのCによる傍受はある程度防ぐことができても、Bによる傍受には無意味だと思うのですが。 Bがpromiscuousモードで受信すれば、Aのパケットは丸見えです。

         確かに、Wireshark [osdn.jp]などを使い、promiscuous mode でパケットキャプチャーをすれば、流れてくる IEEE802.11 のデータフレームを入手できます。しかし、パケットヘッダーなどを除いたメインの部分は、WPA2-EAP ですから当然暗号化されています。

         もし、一般家庭で用いられている WPK2-PSK であれば、実際に暗号化に使われるテンポラリキーは、マスターキー(一般に無線LANルーターとパソコンに設定するAESキー)、MACアドレス、乱数の3つから生成されます。「APへの正当なアクセス権を持つ他者」であれば、マスターキーは知っています。MACアドレスと乱数は、4Way-Handshakeで平文でやり取りされますから、最初の接続や鍵更新のタイミングの通信を傍受できれば、3つの要素が全て揃いますので、テンポラリキーを生成して通信を復号することができるでしょう。

         しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。

        親コメント
        • by Printable is bad. (38668) on 2014年08月27日 22時55分 (#2665149)

           しかし、WPA2-EAP の場合は、そもそもマスターキーがユーザー毎に異なりますから、パケットをキャプチャーしたところで、それを復号することができません。

          上記の部分に補足します。

          「APへの正当なアクセス権を持つ他者」が、通信内容を復号することができない理由については、ネットワーク入門サイト - 企業向け無線LAN [beginners-network.com] をご覧下さい。大変分かりやすく解説されています。

          一言で説明しますと、SSL とほぼ同じ理由です。公開鍵暗号方式と、認証局が署名したデジタル証明書が使われています。

          親コメント
          • by Anonymous Coward

            認証局は、SSLとかで使われているものを使うの?

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...