総務省、暗号化されていない公衆無線LANアクセスポイントを原則禁止にする方針 84
ストーリー by hylom
さすがにこれは妥当では 部門より
さすがにこれは妥当では 部門より
総務省が暗号化されていない公衆無線LANアクセスポイントを規制する方針だと報じられている(産経新聞)。
暗号化されていない公衆無線LANでは、第三者が通信内容を盗み見できる可能性があるといった問題点がある。そのため、今年中に課題をまとめ、来年度に公衆無線LAN事業者向けのガイドラインを改定するという。
なお、産経新聞の記事では「パスワード不要の公衆無線LANアクセスポイントを原則として規制」とされているが、パスワード不要という点が問題なのではなく、暗号化されない無線LANを問題視している模様。
おまいう (スコア:5, すばらしい洞察)
http://www.soumu.go.jp/ [soumu.go.jp]
さっさとhttpsへ移行したらどうなんだ
Re:おまいう (スコア:1)
暗号化なんてとんでもない。透明性が失われます。
Re: (スコア:0)
必要なのは暗号化ではないですけどね。
アチコチのスレで嘘を投稿しまくってるキッズに騙されるな (スコア:5, 興味深い)
パスワードPSKが公開されてても暗号キーは違うものが生成されるから通信の安全が保たれるというのは嘘
実際にはハンドシェイクを盗み取られたら終わり
WPAパーソナル=PSKは家庭用、本来公衆Wi-Fiに使われているのがおかしい
公衆Wi-Fiに使うべきなのはWPAエンタープライズ=EAP
docomo,au,softbankのWi-FiはEAP対応で各自別の個人ID/Passwordで認証かSIMのクライアント証明書認証なので安全
パスワードを共有しているWPAパーソナルのFree Wi-FiはTLSやVPNで暗号化しない限り危険
ACで何度も嘘を色々なスレに書き込んでガセ情報をまき散らす香具師がいるから
高木浩光大先生も耐えかねて3314445 [srad.jp]は「知ったか厨」だとツイートしてる
Hiromitsu Takagiさんのツイート: "こういう知ったか厨っているんだね。 [twitter.com]
出鱈目なカキコ
・ACの3314450 [srad.jp]
・ACの3314545 [srad.jp]
・ACの3314473 [srad.jp]
・ACの3314531 [srad.jp]
正しいカキコ
・ACの3314306 [srad.jp]
・M-FalconSky(8868)の3314343 [srad.jp]
・Printable is bad.(38668)の3314529 [srad.jp]
・ACの3314469 [srad.jp]
・Printable is bad.(38668)の3314487 [srad.jp]
・ACの3314493 [srad.jp]
Re: (スコア:0)
どうせiPhoneがどうのAndroidがどうのと書き込んでるいつものガイジだろ
釣りのつもりじゃなくてマジでパス公開のWi-Fiが安全だと信じ込んでるみたいだから痛すぎる
PKIを理解してりゃユーザ毎の暗号鍵を安全に相手にだけ受け渡すにはPKIを使わなきゃ不可能だということぐらいわかると思うんだがね
PSK方式はユーザ事の暗号鍵をPSKで暗号化して渡してるようなもんだからパス知っている人に対しては安全性は保てない
何のためにEAPがあると思ってるんだろうね、ああいう安全厨って
EAPはSSLのように認証局の証明書で正しいAPだと検証するしクライアント証明書やID+PASSペアはその公衆Wi-Fiを使わない安全な方法で事前に渡しておくから安全が確保できてるのよ
PSKで安全ならEAPの存在意義がない
俺もACだからああいう奴と一緒にされたら迷惑だわ
Re:アチコチのスレで嘘を投稿しまくってるキッズに騙されるな (スコア:1)
本人登場ワロタ
難しい事はさっぱりですが (スコア:2)
http://itpro.nikkeibp.co.jp/atclact/active/17/100300158/100300008/ [nikkeibp.co.jp]
#参考になる?
暗号化の強度に関しての基準はあるのかな (スコア:1)
WEP禁止? 由緒あるゲーム機が使えなくなるな
Re: (スコア:0)
なんでDSはWi-Fiスタックを個々のソフト側に持たせたんだろうな
Re: (スコア:0)
既にDSのネットワークサービスなんて動いてないでしょ^^;
また「老害」か (スコア:0)
「ニンテンドーDS」および「Wii」ソフトの
「ニンテンドーWi-Fiコネクション」サービス終了のお知らせ
https://www.nintendo.co.jp/support/information/2014/0227.html [nintendo.co.jp]
> いつも弊社商品をご愛顧いただきまして誠にありがとうございます。
> このたび、2005年11月にサービスを開始しました、「ニンテンドーDS」および「Wii」のインターネット通信サービス「ニンテンドーWi-Fiコネクション」を、2014年5月20日(火)をもちまして終
Re:ヤマサキパン祭りの食器 (スコア:0)
コイツはとにかく頑丈ですね
30年たっても健在してます(粉砕しにくい)
またやっていただけないかなぁ 四六時中パン祭り
記者会見裏事情。 (スコア:1)
よく見かけるのが、知識が無くてアホな記者は、逆ギレしながら、わかりやすく説明しろ と怒鳴りとばす。
時間のムダで迷惑そのもの。
東京新聞・毎日新聞の50歳前後の素人記者は最悪。
特に、ITに弱い記者は、一度自分で勉強してから、再度取材申し込みして記事書いたほうがいい。
最近ネットで騒がれる要因のひとつが、記者の質が落ちているからだと思われる、今日この頃・・
暗号化は公衆無線LANに限らず必須にしてもよい (スコア:0)
産経の記事を見て、パスワード不要を原則禁止はだいぶ過激だな、
とか思ってたけど暗号化の方か。
暗号化はさすがに原則必須にしていいでしょもう。
むしろ、家庭用とかだって暗号化必須にしてもいいと思う。
(って、暗号化するにはパスワード必須だっけ?)
Re: (スコア:0)
何らかの認証は必要としてもパスワードとは限らない、ですかね。
機械が勝手にやってくれる認証もある。
パスワードがあっても危ない (スコア:0)
パスワードが有っても、IDとパスワードが固定であれば成りすましAPを設置できてしまいます。
ちゃんとそれも考慮して規制してほしいところ。
Re:パスワードがあっても危ない (スコア:1, 荒らし)
まー、MITMできるのはそうなんだけど、もとよりWPAのパスワード(公開)の意義って
* 途中からのキャプチャだと解析がつらくなる(絶対できないとはいわない)
くらいだからなあ...
# 最初っから漏れなくキャプチャできるなら、かなり早く解析ができるはず
そして、ないよりはあったほうがいいタイプのセキュリティの要素じゃないかなと。
ちょっと昔に覚えたことがベースなので、なんか間違ったこと書いてるかもしれんけど
かといって、個別に認証できるようにするのは、キャリアのWi-Fi(EAP-SIMとかね)とか以外だと厳しそうだし
M-FalconSky (暑いか寒い)
Re: (スコア:0)
> # 最初っから漏れなくキャプチャできるなら、かなり早く解析ができるはず
全然違う
WPA以降では機器の間で暗号化に使用する鍵を定期的に交換するようになっているので、
この機能を意図的に無効にする(鍵を変更しない)ようにしない限りは、
最初からキャプチャしようが途中からキャプチャしようが(頻繁に鍵が変わるので)解析の助けにはならない
なんかこのストーリーのコメの内容がみんなおかしいな
WEP時代か、それよりももっとずさんなことしかやってないっていう決めつけで書かれた間違った内容のコメが多すぎる
Re:パスワードがあっても危ない (スコア:3)
「機器の間で暗号化に使用する鍵を定期的に交換する」のは、脆弱な暗号化アルゴリズム RC4 を用いた WEP を既存の機器の買い替えの必要なくファームウェアの更新のみでマシにするために考えられた WPA-TKIP の話。TKIP では、暗号化アルゴリズムは脆弱な RC4 のままなので、10,000パケット毎に暗号鍵を変更することでなんとか安全性を少しでも高めようとしたわけです。(TKIP は WEP よりはマシなものの脆弱なので使用は推奨されません)
一方、今主流の WPA2-AES は、安全な暗号化アルゴリズム AES を使うことで、暗号鍵の定期的な変更の必要は無くなったので、Wi-Fi AP とクライアント間のユニキャスト通信に用いられる暗号鍵は 4-Way-Handshake の際に受け渡され、再接続するまで変更されない のです。
WPA2-PSK AES でもバッファロー等の家庭用無線LAN APの設定項目に「Key更新間隔」という項目があるじゃないかと思っているかもしれませんが、これは GTK (Group Transient Key) というマルチキャスト・ブロードキャスト通信のみで使う別の暗号鍵です。マルチキャスト・ブロードキャスト用の暗号鍵は全クライアント共通であることから、既に切断したクライアントが使っていた鍵は使わない方が良いかもしれないという発想から、定期的な変更を可能にした感じです。
# 厳密に書くと、4-Way-Handshake で Nonce・MACアドレス・PMK (Pairwise Master Key、PSK:Pre Shared Keyを変換したもの) から算出した PTK (Pairwise Transient Key) に含まれる、TK (Temporary Key) がユニキャスト通信の暗号化・復号に用いられる。詳しくは #3314487 [srad.jp] をご覧ください。
話がかみ合わないのが、貴方が WPA-TKIP の時代に止まっているからだと思います。
Re: (スコア:0)
理解できていないのは君の方だと思うの(´・ω・`)
WPAパーソナルとWPAエンタープライズの違い理解してないよね?
ここはIT知識のあるアレゲな人が集うサイトなの(´・ω・`)
あなたみたいな情弱はYahoo!ニュースに帰って!
Re:パスワードがあっても危ない (スコア:2)
どの部分が間違っているのか、ご指摘いただけるとありがたいです。
「暗号鍵」は、CCMP については、PTK (Pairwise Transient Key) に含まれる TK (Temporary Key) のことを指して言いました。48bit の PN (PacketNumber) はパケット毎に +1 されますが、PTK はハンドシェイクの後は変更されません。
TKIP については、IVがパケット毎に変化するだけでなく、128 bit の TK そのものが定期的に変更されます。無論、WEP の根本的な問題は TK が脆弱というより IV の強度不足の方が大きく、TK の定期変更の必要性はそれに比べると低いでしょうが、「WPA以降では機器の間で暗号化に使用する鍵を定期的に交換するようになっているので」という反論なので、TKIP は TK が定期的に変更されるけど、CCMP ではされないという主張をしたわけです。その点には誤りはないはずです。
#3314450 の「WPA以降では機器の間で暗号化に使用する鍵を定期的に交換するようになっているので」への反論として書いてます。IVが毎回変わるから「暗号鍵」が毎回変わっているという考え方を #3314450 がしていたならば、そもそもWEPも24bitのIVはパケット毎に変わっているので「WPA以降」という部分に矛盾します。そのため、「暗号化に使用する鍵」が TK (Temporary Key) のことを示しているものとして書きました(そもそも IV は普通暗号鍵とは言いません)。
Re: (スコア:0)
なんかこのストーリーのコメの内容がみんなおかしいな
WEP時代か、それよりももっとずさんなことしかやってないっていう決めつけで書かれた間違った内容のコメが多すぎる
おかしいのは貴殿のコメント
仕組みを全部理解しろとは言わんが、決めつけで書く前にせめて自分の主張が正しいかどうかくらい再確認するべき
Re: (スコア:0)
EAP-PEAPやEAP-TTLS必須で良いでしょ。
これでやっと (スコア:0)
碌なセキュリティーも確保せずパスワード無しで会社のWi-Fiを公開してる上司を撤去できる!
Re: (スコア:0)
通報者が撤去されるのですね わかります
Re: (スコア:0)
いい上司じゃないか。早速利用させてもらおう。
Re: (スコア:0)
ハニーポットを設置してる良い上司を撤去しちゃだめだ
意味がない (スコア:0)
WPA(2)-PSKはPSKを知っている相手に対して通信内容を秘匿する能力は無いに等しいので、こんな施策に意味があるとは思えません。
詳しくない人に「暗号化しているから安心!」と勘違いさせてしまうことを考えると、PSKばら撒きタイプは暗号化なしよりもタチが悪いように思います。
Re: (スコア:0)
それはそれで正論だけど、それを言い出すなら「自分が管理してないネットワークに平気で繋ぐことが当たり前になった時点でアウト」だと思う。
何をもって「自分が管理してない」にするかは微妙だけどね。まさか大手町まで直結回線持ってる個人宅なんてないだろうし。
Re: (スコア:0)
WPA-EAP のアクセスポイントにだけ繋ぐようにしてれば、「自分が管理してないネットワークに平気で」繋いでも問題ないわけだが。
Re: (スコア:0)
>WPA(2)-PSKはPSKを知っている相手に対して通信内容を秘匿する能力は無いに等しいので、
全然違う
複数の利用者でPSKを共有していても、経路暗号化はPSK自体ではなくそこから生成された各利用者ごとの一時鍵で行われるので
周囲の利用者は通信内容を盗聴することはできない
ただし、WPA自体は無線区間の暗号化しかしないので、ルータやそれよりも上流のところで悪意あるものがいたらそこは当然暗号化されていない
ここを守りたければsslなりVPNなりが必要
Re:意味がない (スコア:1)
>WPA(2)-PSKはPSKを知っている相手に対して通信内容を秘匿する能力は無いに等しいので、
全然違う
複数の利用者でPSKを共有していても、経路暗号化はPSK自体ではなくそこから生成された各利用者ごとの一時鍵で行われるので 周囲の利用者は通信内容を盗聴することはできない
ただし、WPA自体は無線区間の暗号化しかしないので、ルータやそれよりも上流のところで悪意あるものがいたらそこは当然暗号化されていない ここを守りたければsslなりVPNなりが必要
お前のような技術を理解できん馬鹿文系は、権威のある人に叱ってもらわないと間違いを認められないようだ
お前がACで嘘をまき散らしているのに耐えかねて、高木浩光大先生がお前が間違いだとツイートしたから見ろ!
Hiromitsu Takagiさんのツイート: "こういう知ったか厨っているんだね。 https://t.co/LSJdyLu2Xn" [twitter.com]
リンクで #3314445 を指してお前が「知ったか厨」だと断言している
これで間違ってること分かっただろ、WPA-PSK はWPAパーソナルの規格だから家庭内での利用に限り安全なものでパスワードを不特定多数で共有してよいものではないんだよ
だいたい、なんのためにWPAエンタープライズという別の規格もあるのか考えりゃ分かるだろ
Re: (スコア:0)
>全然違う
>複数の利用者でPSKを共有していても、経路暗号化はPSK自体ではなくそこから生成された各利用者ごとの一時鍵で行われるので
>周囲の利用者は通信内容を盗聴することはできない
違いません。
4way handshakeのパケットとPSKがあれば一時鍵は簡単に得ることができます。
https://www.cisco.com/c/ja_jp/support/docs/ [cisco.com]
実際 WPA2-PSK AES は PSK を知っている人に対して脆弱 (スコア:5, 参考になる)
元ACとは別人ですが、実際 WPA2-PSK AES は PSK を知っている人に対して極めて脆弱で、PSK さえ知っていれば通信の傍受・改ざんは可能です。
興味本位で試してみたことがありますが、私にはできました。Wireshark というソフトがあれば簡単にできてしまうので、自宅の Wi-Fi で試してみてください(公衆 Wi-Fi でやると電波法違反となる恐れがあります)。
傍受できてしまう理由の前に、まず今主流の WPA2-PSK AES での接続時に何が行われているかを簡単に書くと、
といった感じです。
4-Way-Handshake を傍受すれば、Nonce と MACアドレスを知ることができ、そこから PTK を算出することが可能ですので、PSK を知っている人であれば通信内容の傍受や成りすましが可能 なわけです。
4-Way-Handshake はクライアントが Wi-Fi AP に接続する瞬間のみに行われるので、接続の瞬間に周囲に居る必要があります。 しかし、妨害電波を出して強制的に切断させることで、多くのクライアントは自動再接続を試みて、そこで 4-Way-Handshake が行われるので、それを傍受する方法もあります。
なお、バッファロー等の家庭用無線LAN APの設定項目にある「Key更新間隔」は、GTK (Group Transient Key) というマルチキャスト・ブロードキャスト通信で使う別の暗号鍵で、これは一般的な Wi-Fi AP では全クライアント共有です。これは PTK とは違うので、この「Key更新」のタイミングの通信を傍受しても PTK を知ることはできません。この GTK は PTK に含まれる KEK (Key Encryption Key) で暗号化して受け渡されます。
※より厳密に書くと、PTK は KEK (Key Encryption Key)、KCK (Key Confirmation Key)、TK (Temporary Key) の3つから構成され、ユニキャスト通信の暗号化・復号に用いられるのは TK。
Re:実際 WPA2-PSK AES は PSK を知っている人に対して脆弱 (スコア:1)
一応補足しておくと、Wireshark でできるのは「傍受」までで、通信の改ざん等を行うのには別のツールが必要です。
当然ながら、上述の方法では TLS (HTTPS など) や VPN の暗号化された通信の内容を復号して知ることはできません。
Re:実際 WPA2-PSK AES は PSK を知っている人に対して脆弱 (スコア:1)
Re: (スコア:0)
とっても恥ずかしい書き間違いしてました…
×寡黙にして
〇寡聞にして
Re: (スコア:0)
>「難しくてもできなくはないだろ」なんていうセキュリティにおいてちゃぶ台返しに等しいことやって、
ええと、「難しくてもできなくはないだろ」なんてことも、それに類するようなことも書いていない認識です。
そもそも4way handshakeのパケットをsniffすることってそんなに難しい作業でしょうか?
電波が届く範囲にノートPCおいてWiresharkでも動かしてれば勝手に収集できますが…。
# もちろんPSKはばら撒かれている(たとえば何かしらの店のWifiであれば、壁に貼られた紙に書かれているとかそういう感じ)想定ですよ
krack と blueborne 脆弱性非対応の端末を販売停止に (スコア:0)
現在日本では krack や blueborne 脆弱性を抱えたままの端末が販売されています、例えばNEC
http://nec-lavie.jp/shop/tablet/catalog/e/ [nec-lavie.jp]
それらの端末の公式ページの仕様欄には bluetooth などが正常に利用できるかのように記述されていますが
実際には脆弱性の為、現実的な利用シーンで当該機能をオンにすることはできません
これは明らかに景品表示法の優良誤認なのですがメーカーは対応するそぶりもありません
まずはこれらの端末を販売ができなくなるよう規制をしていただきたいです
Re: (スコア:0)
CVE-2017-13080 が対象外でもなく修正もされないiPhone6S、iPhoneSEについても同じこと言ってくれよ
まだまだ普通に売ってる(むしろBiglobeがこれから販売に加わるなど販路が増える)端末なのにAppleは全開で逃げ逃げだからな
Re: (スコア:0)
対策は必要ありません
http://www.appps.jp/279046/ [appps.jp]
Re: (スコア:0)
必要ないなどということはAppleの発表には一切書かれていない
また、 CVE-2017-13080 は明確にほかのKrack脆弱性とは別の項に分けて記載されており、
iPhone6SやiPhoneSEも脆弱性対象外ではなく、修正はiPhone7以降しか行われていない
※ 運営さん、さすがにこういう「書かれてもいないことを勝手にねつ造してiPhoneは大丈夫と言っちゃうやつ」は不味いよ、今回のストーリーを見ても行政がこういうのの対処を強めてることはわかるよね?
Re: (スコア:0)
スレッドの先っぽに自分のコメントがついてないと不安で仕方がないんだね。
最後にコメントしてあれば論破した気分になれるみたいな。
Re: (スコア:0)
#3314521 はわざわざ自己紹介しなくていいよ
iPhone6S、SEで CVE-2017-13080 が放置されているとしか読み取れないAppleの公式発表ついての反論にもまったくなってない
Appleに都合の悪い話に対しての嫌がらせ行為にしかなっていない、ホント迷惑行為だ
Re: (スコア:0)
iPhoneに親でも殺されたのかい?
Re: (スコア:0)
個人攻撃って何か知らないでしょう
通信の秘密は? (スコア:0)
方向性としては正しいと思うけど、実際に政府が禁止できるのか?っていう問題はあると思う。
通信の秘密の範疇で、暗号化しない公衆無線LANを設置したいというアナーキストを規制できるのかな。
この通信は暗号化されてない、と指摘した時点で通信の秘密を犯したことになるのでは。
Re: (スコア:0)
便利やなぁ通信の秘密
Re: (スコア:0)
その通信が暗号化されてないということをどうやって知ったかによる。
傍受で知ったなら指摘以前に通信の秘密を侵しててアウト。そうじゃないならセーフ。
「郵便葉書を裏返すと内容を読むことができる」とか「POP3 のこのサーバは平文でパスワードを送受信してる」
とか指摘したところで、通信の秘密を侵したことになるわけじゃないだろうよ。
は? (スコア:0)
無線に限らずインターネットとは傍受されるものだと思っておりましたが・・・
秘匿性が必要ならVPN使うなりHTTPS使うなりしろって話であって、ことさら無線LANだけを特別視する必要を感じない。