無線LANセキュリティの世界でまかり通る「ウソ」について考える

■ ネット Posted by ひぐま (Higmmer) on 2009-09-18 at 01:13:31

◆共有テーマ: インターネットセキュリティー [コンピュータ]

WPA(TKIP)が解読されたというデマに注意」というエントリを書いてから久しいが、最近になってまた無線LANセキュリティ界隈が賑やかになっているようだ。きっかけはおそらく以下の記事だろう。

最初に逃げを打っておくが自分は無線LAN技術者でもセキュリティ専門家でもない。だが自分なりに調べた結果この記事は見出しの時点で2つのウソを含んでいると分かった。

(9/27追記)

本件について広島で行われた発表会に実際に出向いて発表者の話を聞かれた方による解説は以下のサイトへどうぞ。

その1) WPA(TKIP)を「数秒から数十秒で破る」ことができる?

→ ウソ! 実際の所要時間は「およそ12分+α」程度

件の発表論文によれば今回の攻撃は以下の3つのフェーズで行われる。

  1. 中継モード
     攻撃者はAP-端末間の直接通信を妨害し、代わりに自分が中継役となって通信を監視する
  2. MIC鍵復元モード
     正規の(必要な)通信がないタイミングを見計らって攻撃を開始、MIC鍵の復元を試みる
     (所要時間 12~15分)
  3. メッセージ改竄モード
     2.で得られたMIC鍵を用いて改竄パケットを作成、端末に送り込む
     (所要時間 数秒~数十秒/1パケット) (*1)

これらの技術的詳細について理解する必要はない(というか自分も理解していない)(*2)。しかし上記2.における所要時間は昨年のBeck-Tews攻撃と全く同じ。今回短縮されたのは上記3.の部分らしい(以前はこれが4~5分だった)(*3)。

もちろん所要時間が数十秒なら危険で12分+αなら安全などと言うつもりはない。どちらも誤差程度の違いでしかないだろう(*4)。だが普通「暗号が数十秒で破られる」と聞いてどのようなイメージが浮かぶだろうか。殆どの人はおそらく「暗号通信が筒抜けでほぼ暗号化してないに等しい状態」を思い浮かべるのではないか。現にそうしたイメージを助長するかのような記事も出て火に油を注いでいる。

特に前者の記事では「WPAを利用したいかなるシステムであっても1分とかからずに突破が可能」「WPAは無線LANのセキュリティ技術としては意味をすでに成していない可能性がある」などとおどろおどろしい言葉が並んでいるが、これは明らかに言い過ぎだ。また、後者の「WPA」という表現は本件があたかも「WEPが(数秒で)解読される」という話と同レベルの問題であるかのような印象を与える。しかし実際には任意のパケットを解読できるわけではないし、任意のパケットを改竄できるわけでもない

更に攻撃対象とするシステムについても「直接通信が行えない距離にあるアクセスポイントとクライアント」を仮定していることなどから、産総研では「提示された脆弱性は、現実の無線LANの常用環境での攻撃は比較的困難であり、直ちに実用環境でのデータの盗聴などの深刻な被害の蔓延は予想されない」結論付けている(*5)。

だからといって何の対策も講じなくてよいと言いたいわけではない。だが正しい対策を取るにはまず正しい情報を知ることが必要だ。

(*1) 発表者によれば1分以内に成功する確率は約37%(理論値)、実験における平均所要時間は10秒程度とのこと。

(*2) 詳しく知りたければ産総研が出している「WPA の脆弱性の報告に関する分析 (技術編)」が非常に参考になる。

(*3) 但し所謂「中間者攻撃」が時間短縮に寄与したわけではない。TKIPの防御機構を回避するために以前はQoSの抜け穴を利用していたのを、自らが中継役となって通信を監視・細工をすることで実現したという話のようだ。時間短縮は別途、改竄対象とするパケットの種類を限定したり確率的な手法を使うことで実現している。

(*4) 実際にはグループ鍵の更新間隔を2分程度にすることで「MIC鍵復元」を失敗させられる(産総研の分析より)。だとするとこの違いは数字の差以上に大きな意味があるとの見方もできる。

(*5) 一方、発表者は「現実的な被害を生じさせることが可能で、通信システムとしては極めて危険な状態に置かれる」と主張している。これはどちらが正しいという話ではなく、「現実」という言葉の意味するところの違いだろう。

その2) 「WPA2に移行」すれば安全?

→ ウソ! 単に「WPA2」というだけで安心してはいけない

これを「ウソ」と言うのは言い過ぎかも知れないが少なくとも「誤解を招く表現」だ。しかし世の中には何故かこういった表現が蔓延している。

より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。

無線LANセキュリティ「WPA」をわずか1分以内で破る手法発見される [マイコミジャーナル]

Girard 氏は InternetNews.com に対し、「(中略)今すぐ WPA2 Enterprise に移行するよう推奨する」と電子メールで回答してきた。

WPA も60秒で破られる――日本人研究者などが発表 [japan.internet.com]

森井昌克氏によると、「以上のように,WEPはまったく暗号としての体をなさず,その暫定的な改良であるWPAも大きな問題があることが明らかになりました.早期にWPA2に移行する必要があります.」とのこと

無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり [GIGAZINE]

今回のWPA-TKIPに提案した攻撃モデルは、WPA2やWPA-PSK(AES)へは適用できない

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~ [マイコミジャーナル]

実際には「WPA2=安全」と考えるのは誤りだということは以下の事例を見れば明らかだ。

ここで重要なのは「TKIPを使っているか否か」であり「WPAかWPA2か」ではない。WPA2であってもTKIP方式の場合は「全く同じ攻撃が可能」だと産総研のレポートに述べられている。また、それによるとこの「WPA2(TKIP)」というモードはIEEE802.11i 仕様書にも載っている(*6)(*7)由緒正しい(?)ものにも関わらず、専門家と言われる方々までもが誤った説明をしてしまうのは理解に苦しむ。

ちなみに最後に挙げた記事は以下のように続いている。

これはAESを利用しているから適応できないのではなく、CCMPというAESの利用法に工夫を加えているからである。無線LAN暗号化を含めて、暗号システム全般において、「AES(鍵長256ビットの方式を含めて)であれば安全」は単なる都市伝説にすぎない。

WPAを破った森井教授からの提言- 無線LAN暗号化の脆弱性~暗号化の意味と真の問題点~ (マイコミジャーナル)

一方でこのように述べながら(*8)、他方では「WPA2であれば安全」というような新たな「都市伝説」が広まってしまうのは本意ではないだろう(*9)。

(*6) WPA2でのCCMP(AES)の実装は「義務」でTKIPは「オプション」という扱い。

(*7) 正確には「WPA/WPA2」はWi-Fi Allianceが認定する呼称であってIEEE802.11iに出てくる用語ではない。

(*8) このような言い方は一歩間違えれば「解けない暗号は無いからWEPによる法的防御で十分」「見られて困る情報は無いから逆にノーガード戦法」「有線最強」などの偏った認識を招きかねない(いずれも某掲示板で実際に見られた反応)。

(*9) しかもこの場合、我々素人レベルでは(適切なパスフレーズを設定しさえすれば)現時点で「AES=安全」と言っても事実上差し支えないのに対し、「WPA2=安全」はそうではないという点でも問題だ。


<参考サイト一覧>

<続報 (9/27追記)>

トラックバック

この記事について書く(FC2ブログユーザー)
※言及リンクの無いトラックバックは無効です

PageTop▲

コメント

PageTop▲

コメントの投稿

 
 
 
 
 
 (後で編集・削除したいなら必須)
 
  

PageTop▲