パスワードを忘れた? アカウント作成
13888006 story
セキュリティ

無線LANのセキュリティ規格WPA3に脆弱性 34

ストーリー by hylom
早くも 部門より

無線LAN向けセキュリティ規格のWPA3に脆弱性が発見されたことが報じられている(INTERNET WatchQiitaサイオスセキュリティブログ)。

WPA3では無線LANに接続しようとする端末に対し、「SAE(Simultaneous Authentication of Equals)」と呼ばれる手法で認証を行うが、このSAEのパスワード生成やエンコーディングアルゴリズムに脆弱性があり、これによってパスワードが推測されたり、総当たり攻撃によるパスワード解析が実行される可能性があるという。

  • Wi-Fi Alliance「WPA2のハンドシェイク部分に脆弱性が見つかりました」
    Wi-Fi Alliance「WPA3作ります」
    Wi-Fi Alliance「WPA3にWPA2互換ハンドシェイク入れます」
    Wi-Fi Alliance「WPA2互換ハンドシェイク部分に脆弱性が見つかりました」

    ここに返信
    • by Anonymous Coward

      WEPから続く伝統芸ですね。

  • by Anonymous Coward on 2019年04月17日 7時47分 (#3600498)

    DragonBlood [mathyvanhoef.com]って何それカコイイ
    飲んだら強くなりそう

    ここに返信
    • by Anonymous Coward

      浴びたら不死になれる

      • by Anonymous Coward

        !!注意!! 背中に葉っぱが付いていないか確認してから浴びること。

    • by Anonymous Coward

      でもその名前の理由がDragonflyの脆弱性だからって事なのでトンボの血って意味に……
      トンボの名前が大仰過ぎるのが原因か。

      #そもそもトンボもとい昆虫って所謂血液は持ってないよね。

      • by Anonymous Coward

        ウィザードリィのドラゴンフライはブレス吐くけどな。

        • by Anonymous Coward

          アレはコメディだからいいんだよ

        • by Anonymous Coward

          コインだってブレス吐くような世界だけどな。

  • by Anonymous Coward on 2019年04月17日 7時52分 (#3600502)

    SAEない規格だったね

    ここに返信
  • by Anonymous Coward on 2019年04月17日 7時52分 (#3600503)

    皆さんはWPA3対応機器なんて持ってる?
    ソフトウェアレベルの話だからPCとかは普通に対応してるのかな。
    でも結局ルータ側で対応してないのがほとんどだから普及はまだまだだよね。
    この時期に脆弱性と言われてもあまりピンとこない。

    仕様上対処できない脆弱性とかではないみたいだからとりあえず普及前に見つかって良かったね。

    ここに返信
    • by Anonymous Coward

      24Wireless [24wireless.info] に一通りまとまっていますが、個人向け製品としては皆無、法人用のごく一部のモデルにのみ対応ファームウェアが配布されているようです。

      • by Anonymous Coward

        どーでも良いことですが

        アライドテレシスって国内メーカーだったのですね
        8角形の変わった形だったし、日本メーカーがIT機器を四角意外にするなんて当時想像付かなかったから、海外メーカなんだろうと思い込んでました。

        • by Anonymous Coward

          コレガの母体だよ
          昔から法人向け高コスパ機として人気

          • by Anonymous Coward

            でも、実は機能レベルを合わせて実勢見積を取ってみると
            スイッチはCisco/Juniper/HP、アクセスポイントもCisco/Arubaよりコスパ自体は悪いという、
            イメージだけメーカーだったりする。

            国産メーカーだから電気工事屋さんと小中高の学内ネットワークには大人気、
            なのになぜかその上の大学や自治体レベルだと採用が落ちるという謎。

            • by Anonymous Coward

              筆記用具だってコクヨや三菱で十分なくせに
              パーカーとかモンブランとか言い出すのと一緒。

            • by Anonymous Coward

              高価な機能がいらない顧客向けに、安価な機種を提供してるわけで。
              小中高より規模が大きくなる大学や自治体向けで採用が減るのも妥当。
              みんな適切な用途に適切なメーカーを選んでるだけ。

    • by Anonymous Coward

      2で十分ですよ

    • by Anonymous Coward

      Synology の RT2600acが対応してるので 持ってはいますね

      ただ そこに繋ぐもので対応してるものをもってないのでWPA3は使えてませんが いまのところ…

    • by Anonymous Coward

      標準で対応してない機器でも、比較的新しい目(去年の夏ぐらい) のDD-WRT とか入れてたりすると対応してるかもね。

      • by Anonymous Coward

        そういやDD-WRTって技適的には大丈夫なのかね。
        思いっきり機器改造だけど。

        #むかしむかーし、携帯電話にアンテナがついてた頃、アンテナにLEDが仕込まれている奴に取り換えるのが流行ったそうな
        #でもそれはすべて違法だったという、めでたくなしめでたくなし

        • by Anonymous Coward

          それが結構問題なんで
          チップセットメーカに当局から改変ファーム使えないようにする要請とかの動きがあるらしい
          DD-WRTの本家サイトに行くとそんなことが書いてあった

        • by Anonymous Coward

          そらもちろんアウトよ

  • by Anonymous Coward on 2019年04月17日 18時54分 (#3600985)

    雑音利用した真性乱数が最も安全

    ここに返信
    • by Anonymous Coward

      むしろサイドチャネル攻撃に極めて脆弱としか思えないが

      • by Anonymous Coward

        マイクで環境音拾ったりNCラインに乗った電気的ノイズ拾ったりLAN流れてるデータやタイミング使ったりするならそらそーだが、
        普通暗号方面で乱数に使うノイズ(特に真の乱数などに言及する場合lっていうと
        自然現象としてランダムとされるもの(量子効果や熱雑音など)を使う。
        ふつうは発生器内で閉じた現象を使うからサイドチャネルに特別弱いとかは無いよ。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...