パスワードを忘れた? アカウント作成
129290 story
暗号

無線 LAN 暗号化 WPA への改ざん攻撃の実装と評価 44

ストーリー by reo
WPA2 への移行 部門より

Dobon 曰く、

無線 LAN 暗号化 WPA への改ざん攻撃の実装と評価」という発表が、電子情報通信学会の LOIS 研究会で 9 月 25 日に広島大学で行われます。

著者には、WEP を 10 秒で解読する手法で有名な神戸大の森井昌克教授が名を連ねています。おそらく相当効果的な攻撃方法が発見されたのでしょう。

私の勤め先では ISMS の規定上、無線 LAN を買い換えるか撤去しなければなりません (4 台しか存在しませんが、対応の煩雑さに頭が痛くなってきました) 。無線化を進めた企業はどのように対処するのでしょうか? 機材購入の予算獲得や設定変更の準備などで大騒ぎだと想像はできますが…。

森井先生のブログ記事によると、ちょうど今日、8 月 7 日に台湾で開催されている JWIS2009 にて、広島大学の大東俊博助教がこの件について発表するらしい。既に 5 月の信学会 ICSS 研究会でも部分的に発表されていた内容の正式な発表となるという。今から台湾に行けない人 (台風直撃っぽいし) は 9 月の広島大学で聴講すると良いだろう。9 月の広島では実際の攻撃システムの構築と実験結果について述べられるという。また今回発表される内容については GIGAZINE の記事に詳しい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2009年08月07日 10時33分 (#1618994)

    以前書いた疑問 [srad.jp]に誰も答えてくれなかったので仕方なく自分で調べたところ、

    • WPAとかWPA2というのはWi-Fi Allianceが認定するもので、IEEE802.11iとは別。IEEE802.11i準拠だ(とメーカーは主張している)けどWPA2の認定を受けていないということも理論上はありうる。WPA2の認定条件の1つにIEEE802.11i準拠があるので、逆は(ちゃんと審査が行われていれば)ないはず。
    • WPAではTKIPのサポートが、IEEE802.11iではAES(CCMP)のサポートが必須だが、ほかの暗号化方式をサポートすることも禁止はされていない。
    • WPAはIEEE802.11iが標準化される前に作られたのでヘッダの暗号強度とは関係ない部分がIEEE802.11iと一部異なるだけで、暗号化方式についてはWPA2と全く同じものが使えるため、WPA2-PSK(AES)に対応したついでにWPA-PSK(AES)にも対応するとかWPA-PSK(TKIP)に対応したついでにWPA2-PSK(TKIP)に対応するのは比較的容易で、実際対応している機器が存在する。

    …ということらしいです。IEEE802.11iの仕様はWeb上で公開されていて無料で入手できるので探してください。WPA/WPA2の認定基準については非会員には公開されていないようなので、推測が混ざっています。

    • 暗号プロトコルで比較するなら。

      • RC4の鍵を動的に拡張したものがTKIPなので、TKIP vs AES(CCMP)でいい気がする。RC4と言ったらWEPだってそうですし。
        親コメント
        • by Anonymous Coward

          それにWEP/TKIPを攻略可能なのはRC4に本質的な弱点が発見されているためではなく、WEPにおけるRC4の使い方がまずい(そしてファームウェア互換性を優先したためTKIPでもそれを修正できなかった)ためなので、森教授がRC4自体に弱点を発見したのでない限り、この文脈でRC4 vs AESと言うのは適切ではないですね。

      • by Anonymous Coward

        無線LANの問題をその比較にしてはRC4が可哀想

    • by Anonymous Coward
      GIGAZINEあたりが何もかも鵜呑みにしてWPA2にしろって叫んじゃったからWPAは危ないWPA2にすべきってなりそうだねぇ。 AESとかTKIPの概念が彼らにはない
      • by Anonymous Coward
        ネタ元の森井先生に問題があったのでは?
  • >おそらく相当効果的な攻撃方法が発見されたのでしょう。

    「無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり」 [gigazine.net]によれば

    既にWPAに関しては、昨年11月、暗号化鍵を自動的に変更する「TKIP」と呼ばれるプロトコルにおいて、鍵となるパスフレーズに候補となる文字列をすべて入力して試していくという「辞書攻撃」ではなく、TKIPの不備をつくことによって、15分前後かかるものの、その鍵の一部を確定的に導出できる方法 が提案されています。(略)
    今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。この攻撃方法を用いれば、WPAを利用しているパソコンに不正なパケットを受け入れさせることが可能になるそうです。

    【関連ストーリー】セキュリティセミナー 「PacSec 2008」でWPAが破られる [srad.jp]

    今後の対策としてはAES暗号を採用する [nikkeibp.co.jp]ことでしょうか。

    ちなみに森井教授はWEPキーを数秒で解読できるKOBECRACK [youtube.com]というツールも開発されていますが、WEPへの依存度がいまだに高いということでツールの公開にはいたっていません。今回の発表でも攻撃がデモされるのでしょう [ameblo.jp]が、『無線化を進めた企業』には配慮されると思います。しかし誰かが同じような攻撃手法を見つけるかもしれないという危惧はあるかも・・・

    --
    「ごめん、今ポケゴ―で忙しい」
  • >無線化を進めた企業はどのように対処するのでしょうか?

    IPSECなりを使ってネットワーク丸ごと暗号化してしまうのが一番手っ取り早いかと思います。社員が勝手に持ち込む野良無線LANとか、野良PCとか、野良HUBとか、野良ゲーム機とか、野良ロボットとか、いちいち対応していたらきりがありません。

  • 整理すると (スコア:1, 参考になる)

    by Anonymous Coward on 2009年08月07日 15時02分 (#1619220)

    × WPA-PSK(TKIP)
    ○ WPA-PSK(AES)
    ○ WPA2-PSK(TKIP)
    ○ WPA2-PSK(AES)

    ってことでしょうか? AES対応ならWPAのままでも大丈夫?

    # ただしWPAではAES非対応の機器もあり、この場合WPA2に更新せざるを得ない

    • Re:整理すると (スコア:1, 参考になる)

      by Anonymous Coward on 2009年08月10日 11時27分 (#1619994)

      いいえ、
      × WPA-PSK(TKIP)
      ○ WPA-PSK(AES)
      × WPA2-PSK(TKIP)
      ○ WPA2-PSK(AES)
      です。このコメント [srad.jp]のせめてサブジェクトだけでも読んでいただけませんか。つーかWPA2に以降しろたので(とりあえず)安心だと思っていたら実は暗号化スイートがTKIPだったので何にもならないという罠があるのではマジで洒落にならないので「WPA2へ移行」という誤解を招く言い方はやめるべきですね。
      # モデレータも何考えて「参考になる」付けてるんですか。
      > AES対応ならWPAのままでも大丈夫?
      機器が対応していても、TKIPやWEPへダウングレードさせられないように設定しないと意味がなさそうです。

      親コメント
  • by Anonymous Coward on 2009年08月07日 10時10分 (#1618975)

    http://jwis2009.nsysu.edu.tw/index.php/jwis/jwis2009/schedConf/program [nsysu.edu.tw]
    によると、

    11:05~12:25
    "A Practical Message Falsification Attack on WPA", Toshihiro Ohigashi and Masakatu Morii

    で、台湾時間は日本より1時間早いからもう講演のブロックは始まってる。
    今から台湾へ行けって?

    • 11:05~12:25
      "A Practical Message Falsification Attack on WPA", Toshihiro Ohigashi and Masakatu Morii

      で、台湾時間は日本より1時間早いからもう講演のブロックは始まってる。

      台湾はUTF+8なので、日本より1時間遅いですね。
      台湾時間で11:05ならば日本時間だと12:05になるので、元コメントの時点では開始までまだ2時間弱ありましたね。

      # このコメントを書いている時点では既に終わっていますが

      親コメント
      • by Anonymous Coward

        >台湾はUTF+8なので、
        ちょっと特殊な文字エンコーディングがつかわれているんですね!

  • by Anonymous Coward on 2009年08月07日 10時49分 (#1619002)
    基本的に解読できない暗号はない。あるのは解読しにくい暗号だけ。
    物理的な接点を持たずにアクセスできる無線ならいつ破られてもおかしくない。

    なんてことを大昔から言ってたし、他にもそう言う人はいたのだが…
    クリティカルな場所で導入してるケースって未だにあるの?

    #家ではセグメント分けてDSだけ使ってるけどさ…
    • by Takosan (2656) on 2009年08月08日 12時44分 (#1619645) ホームページ

      その昔、某大学で構築したケースでは・・

      ・無線LANは暗号化しない
      ・プライベートIPがつくが、どこにもルーティングされない
      ・無線の向うにCISCOあたりのVPNコンセントレータを置く
      ・端末がVPN張ると仮想IFにグローバルが付いて、ドコへでも出られる。
      ・VPNのID次第でもらえるアドレスのセグメントが異なる仕掛けもあったような。

      こんな仕組みで、無線LAN自体の暗号化をまったく信用していない仕様でした。
      こんなメンドウな仕組みはそうそう作れないってんなら、あとはなんでもSSL通すしか無いですかね。

      --
      **たこさん**・・・
      親コメント
    • by Anonymous Coward on 2009年08月07日 11時47分 (#1619053)

      無線LAN上でVPNとか使うんじゃダメなの?
      アクセスポイントに対して内部ネットワークとの間に防壁を用意すればどうでしょうか?

      親コメント
      • by Anonymous Coward
        >無線LAN上でVPNとか使うんじゃダメなの?

        SonicWallがまさしくそのコンセプトをWiFiSecという名で実装しています。
      • by Anonymous Coward

        >アクセスポイントに対して内部ネットワークとの間に防壁を用意すればどうでしょうか?

        うちではルーター2段でDMZを構築してあるので無線ルーターはそこに
        繋いであります。つまり社内システムはアクセスできないけど外部への
        ネット接続は出来る環境にしてます。

        無線LANを使いたいのはiPod touchだったりデモ用途だったりするので
        社内にアクセス出来なくても特に問題ありません。まあ用途次第ですね。

        もちろんだからと言って無線LAN設定は色々と見直しつつ運用してます。
        今回の問題も踏まえてまた見直さねば。

    • by Anonymous Coward
      管理者&ネットワーク設計者の立場で
      散々文句言われてますが、ウチは未だに禁止です。

      鍵をかけたハブを屋外に晒すような物なので、
      わかってください…と説得してます。

      理屈では盗聴でデータだけ集めて、遠い未来に解読する手もありますし…。

      #セキュリティショーで見かけた、LANシートってのには少し惹かれました。
      • by Anonymous Coward on 2009年08月07日 11時28分 (#1619033)
        その理屈だと、デジタルコードレスや、携帯電話を使うのも危険だから禁止しているのでしょうか?
        親コメント
        • by Anonymous Coward
          コードレスは禁ですね。ウチの職場。
          携帯電話は移動体通信ですからピンポイントで傍受し続けるのに無理があるでしょう。
        • by Anonymous Coward
          元ACです

          ぶっちゃけて言ってしまえば、そちらは管轄外です。
          (あくまでネットワーク管理者なので)

          社内では構内PHSを使ってますね。その辺どうなってるんだろ。

          ただ、こちらはこちらで電波が弱すぎると
          苦情が出まくってる有様なので、盗聴するのも一苦労な気がします。

          あと、音声とLAN内のデータでは、重要度がかなり違うと思います。
          (もちろん会社によるでしょうが)
  • by Anonymous Coward on 2009年08月07日 12時34分 (#1619106)
    RC4が弱すぎる。この一言につきる。RC4なんて一企業が商業化した暗号が、広まっちゃっただけ。暗号アルゴリズムとしてその性能や安全性を評価した上で、採用されたり標準化されたようなもんじゃない。何で初期の暗号システムでRC4を採用しているのが多いのかといえば、以前は米国輸出基準の関係で40bit長を越えた鍵を使える共通鍵暗号の輸出が出来なかったから。RC4は鍵を任意の長さに出来るので、それで輸出・販売していた。安全性が売りではなく、輸出できるから使っていたという、安全性とは関係のない部分で使われていた。そんなRC4が広まって、デファクト・スタンダードになってしまったのがそもそもの不幸の始まり。もう何年もまえからRC4は安全ではない暗号に分類されているわけで、RC4を使っているシステムに対して大変だ大変だと騒ぐ方がちょっと...ね。
    • by Anonymous Coward on 2009年08月07日 12時50分 (#1619128)

      じゃあRC4を利用するSSLも怖くて使えたものじゃありませんね、怖い怖い。

      # そもそもRC4は非公開で広まってるのは流出したArcfourだし、
      # WEPの脆弱性もアルゴリズムではなく初期攪拌の問題だなんて親切なツッコミ
      # はしない

      親コメント
      • by Livingdead (18685) on 2009年08月07日 13時47分 (#1619175) ホームページ 日記

        OpenSSHつかってて,
        ssh -c rc4 ってやってみてなんでだめなんだ~と思っていたことがあった
        ssh -c arcfour だった

        --
        屍体メモ [windy.cx]
        親コメント
      • by Anonymous Coward on 2009年08月08日 1時46分 (#1619539)

        >じゃあRC4を利用するSSLも怖くて使えたものじゃありませんね、怖い怖い。

        いやあ全くもってその通りで、
        apache等も脆弱性がわかっている暗号等を使えるようにしておくのはやめて、
        デフォルト設定をもっと強い側のみにしてもいいと思います。
        どうせOpenSSLが実用に使われる環境のほとんどはCPUパワー余ってるだろうし。

        apache2(2.2.12)組み込みのmod_sslでは以下が吊し状態の定義ですが
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        なぜ今更こんな脆弱性がわかってるものが並んでるのか理解に苦しみます。

        そこでこのように定義しています
        SSLCipherSuite "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:+HIGH:-MEDIUM:-MD5"
        これで何が使われるかは
        openssl ciphers -v "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:+HIGH:-MEDIUM:-MD5"
        のようにすると一覧で見られます。
        #最初は3DESも外そうとしたがAES非実装の現行ウェブブラウザが若干あることがわかって戻した。

        親コメント
      • by Anonymous Coward
        セキュリティのことを考えているサイトだとAESを選択しているでしょうね。
  • by Anonymous Coward on 2009年08月07日 13時21分 (#1619153)

    MACアドレスで縛れば安全ですってのはどーなのさ

  • by Anonymous Coward on 2009年08月07日 13時39分 (#1619163)

    持ってる機器(AP)はWEP128までしか対応してないわ
    無線LANクライアントばかりがWPAとかに対応してる
    でもAPが対応してないからWEP128で使うしかない

    #買い換え?だってまだ使えるし・・・

    • by Anonymous Coward

      >#買い換え?だってまだ使えるし・・・
      既知の脆弱性があってそれをソフトウェアで埋められないとなったらそれは「使える」うちに入らないでしょう。
      家庭向けの無線LAN機器は802.11n対応の物でもすでに1万円を切っていますよ。

  • by Anonymous Coward on 2009年08月07日 14時27分 (#1619197)
    そこで IPN-WLANですよ。超セキュアにてアクセスポイントとクライアントのみの簡単構成! http://www.trinity-ss.com/r/ipn [trinity-ss.com]
    • by Anonymous Coward

      聞いたことないですね
      仮に独自暗号化方式の安全性に目を瞑ったとしても

      ・ドライバは誰がサポートするんですか?Windows7は大丈夫なんですか?
      ・クライアントカードは?Centrinoで使えるんですか?Buffaloは使えるんですか?
      ・冗長化は取れないんですか?壊れたらサービス停止?
      ・大規模に導入したい場合はどうするんですか?
      ・Evil twinは排除できるんですか?セキュアなんですよね?
      ・開発会社がつぶれたらどうするんですか?
      ・保守は24h365できるんですか?

      だったら変に寄り道するよりWEP上にIP=SecVPN張るほうが将来的にも安全ですよ。

  • by Anonymous Coward on 2009年08月08日 21時05分 (#1619726)

    > ISMS の規定上、無線 LAN を買い換えるか撤去しなければなりません

    どの規定?
    単にセキュリティレベルの話なら、無線LANの上でVPNトンネルでも
    さらに張れば全然問題ないだろうし、なんか変に誤解しているのでは。

typodupeerror

人生unstable -- あるハッカー

読み込み中...