Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Wifiの暗号種別を調べてみました

2,789 views

Published on

2013/12/14 わんくま同盟大阪#57 で発表したものです。
Wifiの暗号種別を簡単に調べてみました。

Published in: Technology
  • 神戸大学 様

    暗号に関して素人である発表資料に、
    コメント頂きまして、有難うございます。

    暗号技術を調べていくうちに、暗号の歴史に興味を持ちまして、
    身近な暗号であるWifiを使って、暗号の面白さを少しでも紹介したいなと思い、
    発表させて頂きました。
    知識的に不正確な処も多々あり、申し訳ございません。

    これからも、先生のご活躍楽しみにしております。
    今後とも宜しくお願い致します。
    ペコリ
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • 取り上げて頂いて、有難うございます。わんくまには、確か4年ほど前に一度、セキュリティ勉強会との合同の際に、話をさせて頂いた記憶が有ります。暗号解読に関しては、今のターゲットは無線LANではなく(たまに脆弱性を指摘したりしておりますが、どちらかと言うと無線LAN-CHIPの脆弱性が多いのですが… 今でも使われている古いCHIPには脆弱性が有ります。 http://www.youtube.com/watch?v=JRVsAhe8hsA  )、 SSL-TLSになっており、Googleが使っていたSSL-TLS on RC4の脆弱性を今年発表し、国内標準から落としました。RC4を利用したSSL-TLSは解読可能です(厳しい条件が有り、誰でも解けると言うわkではありませんが、通信事業者は簡単に解けます)。今後ともよろしくお願い申し上げます。
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Wifiの暗号種別を調べてみました

  1. 1. Wifiの暗号種別を 調べてみました 印刷用資料 By KawaKawa わんくま同盟 大阪勉強会 #57
  2. 2. 自己紹介 ● 名前:Kawakawa ● 住所:大阪堺市 ● 職業:プログラマー ● 好きな言語:C# ● 興味がある事: 開発フレームワーク            アジャイル・スクラム            TDDなども わんくま同盟 大阪勉強会 #57
  3. 3. みなさん、暗号好きですよね? 暗号には ロマン があります わんくま同盟 大阪勉強会 #57
  4. 4. みなさん、暗号好きですよね? 暗号には 歴史 があります わんくま同盟 大阪勉強会 #57
  5. 5. みなさん、暗号好きですよね? ● 詳細はこちらを読んでみて下さい。 ● 「暗号解読」  著者:サイモン・シン ● 古代から続く暗号の歴 史を、ストーリを絡めて 紹介 わんくま同盟 大阪勉強会 #57
  6. 6. みなさん、暗号好きですよね? ● 詳細はこちらを読んでみて下さい。 ● 「暗号解読」  著者:サイモン・シン ● ● 古代から続く暗号の歴 史を、ストーリを絡めて 紹介 エニグマすげー! わんくま同盟 大阪勉強会 #57
  7. 7. みなさん、暗号好きですよね? ● 詳細はこちらを読んでみて下さい。 ● 「暗号解読」  著者:サイモン・シン ● 古代から続く暗号の歴 史を、ストーリを絡めて 紹介 ● エニグマすげー ● それを解読する 超人もっとすげー! わんくま同盟 大阪勉強会 #57
  8. 8. そんな理由で、今回は暗号の話をさせて頂きます。 身の回りには、暗号技術が多 数使われています。 ● その中には、何となく使用して いる暗号も多数あります。 ● わんくま同盟 大阪勉強会 #57
  9. 9. そんな理由で、今回は暗号の話をさせて頂きます。 ● 私にとって、Wifiがそんな 暗号技術でした。 わんくま同盟 大阪勉強会 #57
  10. 10. そんな理由で、今回は暗号の話をさせて頂きます。 ● ● 調べてみると、興味をそそる技術 やロマンが多数ありました。 その面白さを少しでも紹介したい と思います。 わんくま同盟 大阪勉強会 #57
  11. 11. Wifiの暗号種別一覧 暗号種別大きく分けて、 3種類あります。 ● WEP ● WPA (TKIP・AES) ● WPA2(TKIP・AES) わんくま同盟 大阪勉強会 #57
  12. 12. Wifiの暗号の強度順 下の者ほど、強度が強く なります。 ● WEP ● WPA (TKIP・AES) ● WPA2(TKIP・AES) わんくま同盟 大阪勉強会 #57
  13. 13. Wifiの暗号の強度順 正確には、WPA、WPA2ともに TKIP、AESの組み合わせが ありますので、 正しい強度順となると・・・ わんくま同盟 大阪勉強会 #57
  14. 14. 暗号の強度は? 正確な強度順はこんな形になります ● WEP ● WPA-PSK(TKIP) ● WPA2-PSK(TKIP) ● WPA-PSK(AES) ● WPA2-PSK(AES) わんくま同盟 大阪勉強会 #57
  15. 15.   それでは早速、 Wifi暗号の歴史を 見ていきたいと思います。 わんくま同盟 大阪勉強会 #57
  16. 16. 暗号の歴史は、強度の歴史 ● ● WEPから始まり、徐々に強度が 強くなっていったWifi暗号。 それは、脆弱性との戦いの結果 でもあります。 わんくま同盟 大阪勉強会 #57
  17. 17. 暗号の歴史は、強度の歴史 ● それでは、一番最初の暗号であ るWEPを紹介することによって、 如何に脆弱性を見つけられ、如 何に対処していったのでしょうか わんくま同盟 大阪勉強会 #57
  18. 18. WEPとは? ● 登場は意外と最近の1997年 わんくま同盟 大阪勉強会 #57
  19. 19. WEPとは? ● ● 登場は意外と最近の1997年 当初は、有線LANの代わりになるものと 期待されていた わんくま同盟 大阪勉強会 #57
  20. 20. WEPとは? ● ● ● 登場は意外と最近の1997年 当初は、有線LANの代わりになるものと 期待されていた だから、名前の 「Wired Equivalent Privacy」は・・・・ わんくま同盟 大阪勉強会 #57
  21. 21. WEPとは? ● ● ● 登場は意外と最近の1997年 当初は、有線LANの代わりになるものと 期待されていた だから、名前の 「Wired Equivalent Privacy」は・・・・ 直訳すると、「有線接続時と同様のプラ イバシー機能」の意味 わんくま同盟 大阪勉強会 #57
  22. 22. WEPとは? ● 秘密鍵(共通鍵)暗号形式 わんくま同盟 大阪勉強会 #57
  23. 23. WEPとは? ● ● 秘密鍵(共通鍵)暗号形式 よく聞く、WEP40bitや、WEP128bit は、暗号に使用する秘密鍵の長さを 意味します わんくま同盟 大阪勉強会 #57
  24. 24. WEPとは? ● 2003年頃から、お手軽なハッキング 方法が次々と発見。 わんくま同盟 大阪勉強会 #57
  25. 25. WEPとは? ● ● 2003年頃から、お手軽なハッキング 方法が次々と発見。 ハッキングツールも多数公開され、 現在は使用非推奨とされています わんくま同盟 大阪勉強会 #57
  26. 26. WEPの暗号特徴 暗号の特徴は、 当時の時代背景を表したものと なっています。 わんくま同盟 大阪勉強会 #57
  27. 27. WEPの暗号特徴 ● 暗号キーの生成方法が単純 わんくま同盟 大阪勉強会 #57
  28. 28. WEPの暗号特徴 ● 暗号キーの生成方法が単純 ● 暗号・復号の処理が早い わんくま同盟 大阪勉強会 #57
  29. 29. WEPの暗号特徴 ● 暗号キーの生成方法が単純 ● 暗号・復号の処理が早い ● 暗号キーの更新機能がない わんくま同盟 大阪勉強会 #57
  30. 30. WEPの暗号特徴 ● 暗号キーの生成方法が単純 ● 暗号・復号の処理が早い ● 暗号キーの更新機能がない ● データ改ざん検知機能はなし わんくま同盟 大阪勉強会 #57
  31. 31. WEPの暗号特徴 ● 暗号キーの生成方法が単純 ● 暗号・復号の処理が早い ● 暗号キーの更新機能がない ● データ改ざん検知機能はなし ● 暗号ロジックはRC4 わんくま同盟 大阪勉強会 #57
  32. 32. RC4とは? ● 米RSA Security社が開発した共有鍵暗号 ● XOR論理演算 ● RC4はbyte単位で暗号化していくストリーム暗号形式 (固定長で暗号化するのは、ブロック暗号。DES(Data Encr yption Standard)が有名) ● ユーザが鍵を作成します(5文字or13文字) (5文字なのは、当初アメリカが暗号輸出を制限していたため) ● その鍵にIV(Initialization Vector、初期化ベクタ)を付与して 、暗号用のSeedとします。 わんくま同盟 大阪勉強会 #57
  33. 33. IV(初期化ベクタ)って何? ストリーム暗号形式とは、前の暗 号結果を利用して、次の平文の暗 号に利用するものなので、暗号化 最初では、利用する前の暗号結果 がありませんので、代わりにIVを 使用します。 わんくま同盟 大阪勉強会 #57
  34. 34. IV(初期化ベクタ)って何? こんなイメージ IV(初期ベクタ) (24bit) 前の暗号結果を使って 次々に暗号化していく 暗号結果1 暗号結果2 わんくま同盟 大阪勉強会 #57
  35. 35. IV(初期化ベクタ)って何? ● ● ● ● WEP鍵は頻繁に更新することが出来ないため、多少なりとも 暗号Seedの推定されるのを防ぐために、多少なりともランダ ム化して推定されないように付与。 もしWEP鍵だけの場合、RC4暗号は周知の計算なので、平 文と暗号化文から、WEB鍵が推測できてしまう。 よって、IVを変化させることによって暗号Seedを変化させ、 WEP鍵を推測されないようにしている しかし、通信相手にはIVを知らせる必要があるため、通信電 文にIVを平文のまま付与します。 わんくま同盟 大阪勉強会 #57
  36. 36. WEPの仕組みのイメージ図 ユーザが指定した文字列 (5文字or13文字) IV(初期ベクタ) (24bit) 暗号用Seed (64bit/128bit) 擬似乱数ジェネレータ (PRNG) RC4暗号化 IV(初期ベクタ) (24bit) 暗号化された文章 元の文章 送信されるデータ わんくま同盟 大阪勉強会 #57
  37. 37.   ここでデモ! わんくま同盟 大阪勉強会 #57
  38. 38. デモが失敗した時用の保険 ● ● C#で簡単に暗号化を試すことがで きます RC2暗号ですが、実際に暗号、復 号を試してみたいと思います。 わんくま同盟 大阪勉強会 #57
  39. 39. デモが失敗した時用の保険 MSDNの 「.NET Framework の暗号モデル」 http://msdn.microsoft.com/ja-jp/lib rary/0ss79b2x(v=vs.110).aspx に記載されてます。 わんくま同盟 大阪勉強会 #57
  40. 40. デモが失敗した時用の保険 これだけで、暗号化できます わんくま同盟 大阪勉強会 #57
  41. 41. デモが失敗した時用の保険 でも、注意書きにこう書かれています。 新しい対称暗号化アルゴリズム、Advanced Encryptio n Standard (AES) は、使用できます。 RC2CryptoServiceProvider のクラスの代わりに Aes のアルゴリズムと派生クラスの使用を検討してください 。 レガシ アプリケーションとデータの互換性のためだけ に RC2CryptoServiceProvider を使用します。 わんくま同盟 大阪勉強会 #57
  42. 42.   デモ終了 わんくま同盟 大阪勉強会 #57
  43. 43.   では、皆さん WEPのどこに 脆弱性がありましたか? わんくま同盟 大阪勉強会 #57
  44. 44. では、世間一般的に言われるWEPの脆弱性とは? ● ● 皆さん気づいていると思われま すが・・・ WEPでは、IVを平文で送信して います わんくま同盟 大阪勉強会 #57
  45. 45. では、世間一般的に言われるWEPの脆弱性とは? ● そこで解析者達は、RC4の暗号 自体を突破するのではなく、 このIVを解析することによって、 WEP鍵を得ようと試みました わんくま同盟 大阪勉強会 #57
  46. 46. では、世間一般的に言われるWEPの脆弱性とは? ● WEP解析の歴史は、如何に効 率よくIVを収集し、解析していく かの歴史となりました わんくま同盟 大阪勉強会 #57
  47. 47. では、世間一般的に言われるWEPの脆弱性とは? ● ● WEP解析の歴史は、如何に効 率よくIVを収集し、解析していく かの歴史となりました。 ちなみにIVの組合せは、24byte で約1,600万通り わんくま同盟 大阪勉強会 #57
  48. 48. WEP解析の歴史 その1 ARPリジェクション攻撃 わんくま同盟 大阪勉強会 #57
  49. 49. WEP解析の歴史 その1 ARPリジェクション攻撃 ● ● ● ARPとはIPアドレスからMACアドレス を問い合わせるプロトコル ターゲットとする無線LANアクセスポイ ントへ大量のARPリクエストを送りま す。 解析に必要なIVを大量に収集します。 わんくま同盟 大阪勉強会 #57
  50. 50. WEP解析の歴史 その1 ARPリジェクション攻撃の問題点 ● ● ● 解析するのに、数十万パケットを取集す る必要がある 短時間で鍵を導出するためには、高速 にパケットを収集する必要がある しかし、実際の環境で数十万パケットを 短時間で収集することは困難 わんくま同盟 大阪勉強会 #57
  51. 51. WEP解析の歴史 その2 神戸大学大学院教授 森井昌克先生の手法 わんくま同盟 大阪勉強会 #57
  52. 52. WEP解析の歴史 その2 神戸大学大学院教授 森井昌克先生の手法 ● 2008年、一瞬でWEP鍵を解読すること に成功します。 わんくま同盟 大阪勉強会 #57
  53. 53. WEP解析の歴史 その2 神戸大学大学院教授 森井昌克先生の手法 ● ● 2008年、一瞬でWEP鍵を解読すること に成功します。 ARPだけでなく、通常パケットからも、 暗号文を取得 わんくま同盟 大阪勉強会 #57
  54. 54. WEP解析の歴史 その2 神戸大学大学院教授 森井昌克先生の手法 ● 従来、特定IVにだけで行っていた鍵 推測を、鍵の暗号パターンから全パ ケットに対して、パケット位置を特定 し、鍵を推測 わんくま同盟 大阪勉強会 #57
  55. 55. WEP解析の歴史 その2 神戸大学大学院教授 森井昌克先生の手法 ● ● 従来、特定IVにだけで行っていた鍵 推測を、鍵の暗号パターンから全パ ケットに対して、パケット位置を特定 し、鍵を推測 20MBのパケット量程度で、 推測できてしまう わんくま同盟 大阪勉強会 #57
  56. 56. WEP解析の歴史 その2 これにより、 WEPの息の根は、 止められることになりました。 (-∧ 合掌 -) わんくま同盟 大阪勉強会 #57
  57. 57.   まだだ、 まだ、WEPは 終わってないぜ! わんくま同盟 大阪勉強会 #57
  58. 58.   そこで、登場 WPA W・P・A! W・P・A! わんくま同盟 大阪勉強会 #57
  59. 59. そこで登場WPA! ● 実は、WEPの当初から脆弱性 は指摘されていて、次の規格策 定(WPA2の事)をずっと進めら れていたのですが、なかなか決 まらなかったので、その間の補 完規格として登場 わんくま同盟 大阪勉強会 #57
  60. 60. そこで登場WPA! ● ● 基本的には、WEP規格を改良さ せた形 乱暴に説明すると、WEPに比べ て鍵とIVを倍に大きくした規格! わんくま同盟 大阪勉強会 #57
  61. 61. そこで登場WPA! ● そして、WPAの登場が、 暗号種別を、複雑にしてしまいま した。 わんくま同盟 大阪勉強会 #57
  62. 62. WPAからややこしくなる規格の名称・・・ ● 一言でWPAと言っても、その中身は、 ・Personalなのか、Enterpriseなのか ・TKIPなのか、AESなのか この2種の組合せで決まります。 ● よくWPA=TKIP、このあと紹介する WPA2=AESと記載されているHPもありま す。正しくはありませが・・・そう思って頂いて も問題はないかと思います(汗 わんくま同盟 大阪勉強会 #57
  63. 63. まずは簡単なところで、PersonalとEnterpriseの違い Personalとは ● ● ● PSKモードとも記載されます。 家庭など小規模なネットワークでの使用 を想定 認証サーバを使用しません わんくま同盟 大阪勉強会 #57
  64. 64. まずは簡単なところで、PersonalとEnterpriseの違い Enterpriseとは ● ● 企業などの大規模なネットワークで の使用を想定 IEEE 802.1X対応の認証サーバを 用いて端末の認証を行う わんくま同盟 大阪勉強会 #57
  65. 65.   ここでちょいと休憩。 なんで認証サーバが 必要なの? わんくま同盟 大阪勉強会 #57
  66. 66. ここでちょいと休憩。なんで認証サーバが必要なのか。 ● 暗号通信では、暗号キーのデー タを、平文のまま流すことなく、如 何に暗号キーが同一であるかど うかを相互に確認する事が重要 となります。 わんくま同盟 大阪勉強会 #57
  67. 67. ここでちょいと休憩。なんで認証サーバが必要なのか。 ● そこで考えられたのが、 CHAP認証(チャレンジ&レスポ ンス認証) ● PPP通信などで使用されてます わんくま同盟 大阪勉強会 #57
  68. 68. ここでちょいと休憩。なんで認証サーバが必要なのか。 認証手順 (1)認証サーバ側で「チャレンジ値」というランダムな値を送 信 (2)受信したクライアント側はその値を自分の暗号キーで 暗号化して、その結果をサーバ側に返信 (3)サーバ側でも、送信したチャレンジ値を自分の持つ キーで暗号化して、それを受信した暗号化の結果と比較す る(もしくは自分のキーで復号化して、送信した値と同じか 比較)。 (4)同一であれば、両者の持つキーは一致しているとみな されます。 わんくま同盟 大阪勉強会 #57
  69. 69. ここでちょいと休憩。なんで認証サーバが必要なのか。 台数が増えるとこの処理が手間 となるので、認証サーバが必要 となります。 わんくま同盟 大阪勉強会 #57
  70. 70.   雑談終了。 それでは、WEPとWPA 何が変わったのでしょうか? わんくま同盟 大阪勉強会 #57
  71. 71. WEPとWPAの同じ箇所 同じ箇所 ● ● WPAはWEPを継承しつつもセキリ ティ脆弱性に対応。 暗号自体が破られてはいないので、 WEPと同じ「RC4」暗号形式 わんくま同盟 大阪勉強会 #57
  72. 72. WEPとWPAの同じ箇所、違う箇所 違う箇所 ● 暗号鍵を128Bitに増加&統一 ● IVを24⇒48Bitに増加 ● 暗号Seedの作成を単結合から、複雑な計算方式へ ● 通信相手ごとに暗号キーを変更(MACアドレスの ハッシュ値を暗号キーに含ませる) ● 暗号キーの更新機能追加 ● データ改ざん検知機能を追加 わんくま同盟 大阪勉強会 #57
  73. 73. WPAとWEPの互換性 ● ● ● WPAはWEPを継承して策定された規格なの で、WEPから多くが互換性を保たれました 暗号形式が「RC4」で同じなので、ハードその ままにソフトウェアの更新で、WPAに対応可 能 暗号処理がハード処理からソフト処理になっ たので、動作が遅くなってしまった わんくま同盟 大阪勉強会 #57
  74. 74. TKIPの特徴 ● ● ● ● ● TKIP(Temporal Key Integrity Protocol) 端末のMACアドレスや擬似乱数などを元 に、一時的な暗号鍵を生成する WEPと異なり端末ごとに暗号鍵が異なる しかも一定量の通信が行われるごとに更 新 改ざんを防ぐ機能も保持 わんくま同盟 大阪勉強会 #57
  75. 75. TKIPの特徴 ということで、 WPAの規格(鍵長、更新頻度)に、 暗号形式はTKIPを使ったものが、 WPA(TKIP)と思って頂いてOKです。 暗号鍵にAESを使ったら、 WPA(AES)です。 わんくま同盟 大阪勉強会 #57
  76. 76. TKIPの特徴 一時の危機を脱したと思われた WPA(TKIP)。 しかし、魔の手はすぐに伸びて きたのでした。 わんくま同盟 大阪勉強会 #57
  77. 77. TKIPの脆弱性・・・ ● ● WEP規格を拡張したところを狙 われた 2008年、ドイツの研究者M.Beck とE.Tewsが発表 わんくま同盟 大阪勉強会 #57
  78. 78. TKIPの脆弱性・・・ ● ● 暗号的にセキュアでないチェックサム機構 (CRC32)を足掛かりに、鍵を推測して偽 装パケットを作成。 しかしTKIPには、連続攻撃に対応する「MI CHAEL(メッセージ完全性チェック)」機能 があり、60秒間に不正と判断するパケット を2回受信すると、セッション鍵を再発行す るので、当脆弱性には、対応できていると 思われていた。 わんくま同盟 大阪勉強会 #57
  79. 79. TKIPの脆弱性・・・ ● ここで再び登場、森井先生。 2010年、ARPパケットを使用す ることで、効率的に鍵を推測でき ることを証明しました。 (-∧ 合掌 -) わんくま同盟 大阪勉強会 #57
  80. 80. ついに、 真打登場 わんくま同盟 大阪勉強会 #57
  81. 81. いよいよ本命、WPA2-AESの登場 ● 規格化に時間が掛かっていた WPA2-AESがいよいよ登場。 わんくま同盟 大阪勉強会 #57
  82. 82. いよいよ本命、WPA2-AESの登場 ● 規格化に時間が掛かっていた WPA2-AESがいよいよ登場。 ● WEP⇒WPA-TKIPと続いてい た、規格の負債を排除。 わんくま同盟 大阪勉強会 #57
  83. 83. いよいよ本命、WPA2-AESの登場 ● 規格化に時間が掛かっていた WPA2-AESがいよいよ登場。 ● ● WEP⇒WPA-TKIPと続いてい た、規格の負債を排除。 互換性は無くなるものの、強い暗 号強度を持つ事ができました わんくま同盟 大阪勉強会 #57
  84. 84. WPA2の特徴 ● ● ● ● 暗号方式を「RC4」からAESを使用したOC MP(Counter-mode CBC-MAC Protocol)に 変更 AES(Advanced Encryption Standard) 下位互換を諦めた為、というよりはAES暗号 は重い処理なので、暗号化をハード処理へ変 更 基本的な規格内容はWPAと同様 わんくま同盟 大阪勉強会 #57
  85. 85. WPA-AES、WPA2-TKIPって何? ● ● ● ● どちらも、拡張機能。必須機能ではないので、機能の有 無はメーカ次第。 WPA-AESは、ハードが対応していないとダメ WPA-AESとWPA2-AESの違いは、鍵の配信方式 らしい。某NECのページには同じと書かれているけど、 それは「セキリティ安全レベルでは同等」という意味であ り、同じ規格内容という意味ではない。 WPA2-TKIP、通信相手がAESに対応していない時 に使用するなど書かれていますが・・・WPA2通信の時 点でAES対応必須のはずですので、正直謎です。どこ で使うんだろう・・・? わんくま同盟 大阪勉強会 #57
  86. 86. WPA2-AESの脆弱性 ● ● ● ● 今のところ一番安全な規格 でも、力技(総当たり)で解析するツールは登 場してきています。 でも特殊環境・特殊条件下での解読なので、 実生活での解読にはまだまだ時間がかかり そう。 でも、いつかは森井先生が・・・ わんくま同盟 大阪勉強会 #57
  87. 87. 次世代の暗号規格は? ● ● ● ● ● まだまだAESの時代は終わらない。 チップの小型化により、色々な製品にますます取り込ま れている状況。 そもそもAES策定時に、30年以上通用する暗号強度を 有するという条件をクリアしている(誰が判定したんだろう?) 世間的には、公開鍵の新規格が続々検討されているよ うです(ペアリング暗号、インテリジェント暗号などなど) AESの次は、公開鍵方式になるのかもしれません。 (個人的には、量子暗号に期待しています) わんくま同盟 大阪勉強会 #57
  88. 88.   ご清聴ありがとうございました。 わんくま同盟 大阪勉強会 #57

×