ユーザーの観点からのWPAでの認証
WEPとWPAの違いについて説明している記事をいくつか読んだことがありますが、私の質問に対する回答は見ていません。
WPAで使用される認証は、ユーザーの観点からWEPで使用されるものとどのように異なりますか?
WEP暗号化を使用してオープンネットワークにアクセスしている場合(「セキュリティタイプ」をWindows 7で「オープン」に設定している場合など)、または認証にWPAバリアントのいずれかを使用している場合)そのネットワークのルーターに関連付けられているネットワークセキュリティキーを入力するだけです。では、一方が他方よりも「認証」を行う方法を教えてください。
認証の部分を知りたいのですが、ここでは、基本的な部分を説明するのに役立つよりも少し詳しく説明します。
WLAN暗号化方式:5タイプ-
- 802.11レガシーまたはWEP
- WPAパーソナル
- WPAエンタープライズ
- WPA2 Personal-802.11i
- WPA2エンタープライズ-802.11i
Wired Equivalent Privacy(WEP):IEEEは最初の802.11標準をリリースしました。すべてのセキュリティはWired Equivalent Privacy(WEP)アルゴリズムに依存しています。このアルゴリズムは、認証と暗号化の両方を担当していました。 WEPは、24ビットIVで40ビットキーと104ビットキーをサポートします。 user endの認証と暗号化の手順を以下に示します。
- 24ビットランダムIV(初期化ベクトル)+ 40/104ビットキーを使用して一意キーを生成します。
- 一意のキーを使用してRC4で乱数ストリームを生成します。
- 平文メッセージのCRC-32を使用してハッシュ値を生成します。
- ハッシュ値にプレーンテキストメッセージを追加して、payloadを作成します。
- 次に、ペイロードが乱数ストリーム(ステップ2でRC4によって作成された)で暗号化され、Cipher textが作成されます。
- 次に、同じ24ビットIV(ステップ1で使用)を平文で付加した暗号文を空中に送信します。
復号化手順(AP終了)は、上記の手順のわずかに逆です。
WiFi保護アクセス(WPA):WiFi保護アクセスまたはWPAは802.11iとも呼ばれます。これは全体ですWEPよりもはるかに複雑ですが、簡単にするために、詳細な概念の多くはスキップします。802.11iのしくみを見てみましょう。
802.11iは次のフェーズで構成されています。
1。キーの設定:動的暗号化キーの管理は、802.11iでは非常に複雑です。このフェーズでは、アクセスポイントとクライアントの両方が、ブロードキャストおよびマルチキャストトラフィックを安全に送信するためだけに鍵生成メカニズムを実行します。クライアント側での手順は次のとおりです。
- 事前共有キーをPairwise Master Key(PMK)として保存します
- Pairwise Master KeyからPairwise Transient Key(PTK)を作成します。
- ペアワイズ一時キーを3つの重要なキーに分割します。 i)KCK ii)KEK iii)Temporal Key(TK)
- 次に、Temporal Keyはユニキャストフレームの暗号化に使用され、さらに暗号化フェーズで入力キーとして使用されます。
アクセスポイントは、GTK(Group Temporal Key)と呼ばれるキーを作成するためのいくつかのステップも実行します。
2。認証:認証のために、802.11iは次の手順に従います。
- 開始:クライアント/ APからAP /クライアントにEAP要求(拡張認証プロトコル)フレームを頻繁に送信することにより、それらのいずれかがデバイスのMACアドレスを含むEAP応答フレームで応答します。次に、APはこの応答を認証サーバー(RADIUS SERVER)に転送します。
- EAPネゴシエーション:APからのEAP応答を得た後、認証サーバーはEAP手順に従う要求をAPに転送し、APはそれをクライアントに送信します。
- クライアントがその手順に同意すると、クライアントはEAPに従って認証を完了します。すべてが順調に進んだ場合、認証サーバーはマスターセッションキー(MSK)を生成し、それをクライアントに、次にAPに配信します。クライアントとAPがMSKからPMKを取得し、4ウェイハンドシェイクを開始します
3。 4ウェイハンドシェイク:認証が正常に完了した後、クライアントとアクセスポイントは4ウェイハンドシェイクを行って接続を確立しました。 4ウェイハンドシェイクは、ASCIIFlow.comで描画され、恥ずかしくないようにコピーされた以下を示しています ケビンベントンによる802.11ワイヤレスセキュリティの進化
+----------------+ +-----------------+
| Client | | Access Point |
+-------+--------+ +--------+--------+
| |
| +--------+--------+
|Cleartext "AckNounce"| Generating a |
| <-----------------+ random Number |
| 1 | "AckNounce" |
+--------+--------+ | |
| Generating a | +--------+--------+
| random number | |
| "SynNounce" | |
| | |
+--------+--------+ |
| |
+--------+--------+ Cleartext SynNounce |
|PTK=PRF(PMK, | +KCK - Encrypted |
|Client Mac, | MIC |
|AP MAC, AckNounce+-----------------> |
|,SynNounce | 2 |
+---------+-------+ |
| +--------+--------+
| | |
| KEK - Encrypted GTK|PTK=PRF(PMK, |
| + KCK - Encrypted |Client Mac, |
| MIC |AP MAC, AckNounce|
| <----------------+,SynNounce |
+---------+-------+ 3 +--------+--------+
| | KEK - Encrypted GTK |
| Verifies AP | + KCK - Encrypted |
| if AP has correct MIC |
| PTK by | |
| decrypting +----------------> |
| Messege and M IC| 4 |
| | +--------+--------+
+---------+-------+ |Verifies AP |
| |if AP has correc |
| |PTK by |
| |decrypting |
| |Messege and M IC |
| +--------+--------+
| |
+ +
4。暗号化:クライアントがキーの構成、認証、および4ウェイハンドシェイクを正常に完了すると、Temporal Key Integrity Protocol(TKIP)または暗号化ブロックチェーンメッセージ認証コードプロトコルを使用するカウンターモードによって通常のトラフィックが暗号化されます(CCMP)。 TKIPとCCMPはどちらも、トラフィックを暗号化するための入力キーとして一時キーを使用します。
これら5つの方法の基本的な違いは、
+------------------------+--------------------------------------------------------------+
|Standard | Authentication method |Encryption Method |Cipher |
+---------------------------------------------------------------------------------------+
+---------------------------------------------------------------------------------------+
|802.11 / WEP | Open System or Shared Key |WEP |RC4 |
+---------------------------------------------------------------------------------------+
|WPA Personal | WPA Passphrase |TKIP |RC4 |
+---------------------------------------------------------------------------------------+
|WPA Enterprise | 802.1x/EAP |TKIP |RC4 |
+---------------------------------------------------------------------------------------+
|WPA2 Personal/802.11i | WPA2 Passphrase |CCMP (default) |AES (default)|
| | |TKIP (optional) |RC4 (optional|
+---------------------------------------------------------------------------------------+
|WPA2 Enterprise/802.11i | 802.1x/EAP |CCMP(default) |AES (default)|
| | |TKIP (optional) |RC4 (optional|
+------------------------+--------------------------------------------------------------+
最初に:
オープンシステム認証は、802.11規格のデフォルトの認証プロトコルです。これは、ステーションIDを含む単純な認証要求と、成功または失敗のデータを含む認証応答で構成されます。認証が成功すると、両方のステーションが相互に認証されたと見なされます-From Here
WEPには2種類の認証があります
オープン認証:キーはここには含まれません。認証は実際には行われません。 WEPは暗号化のみに使用されます。
共有キー認証:共有キーが必要です。
WPA認証タイプ:
- WPAパーソナル:共有キーを使用
- WPAエンタープライズ:認証サーバーを使用
WPAでは利用できるオープン認証方法がないことに注意してください!
では、なぜルーターでWEP(open)が有効になっていてWEP(Shared)が無効になっているのですか?
ユーザーはパスワードなしで認証する方法をユーザーに提供したいだけなので、WEP(Open)を使用するオプションを提供します。
しかし、ユーザーが認証したい場合は、より安全なWPAを使用することもできます。
一見すると、オープンシステム認証は実際の認証を提供しないため、共有キー認証はオープンシステム認証よりも安全であるかのように見えます。しかし、それは全く逆です。 Shared Key認証でチャレンジフレームをキャプチャすることにより、ハンドシェイクに使用されるキーストリームを導出することが可能です。[10]したがって、オープンシステム認証よりも共有キー認証を使用すると、データを簡単に傍受および復号化できます。プライバシーが主な懸念事項である場合は、共有キー認証ではなく、オープンシステム認証をWEP認証に使用することをお勧めします。ただし、これは、どのWLANクライアントもAPに接続できることも意味します。 (どちらの認証メカニズムも脆弱です。共有キーWEPはWPA/WPA2を支持して廃止されます。)- Wikipedia
セキュリティの問題を別にして、WEPでユーザーは5(40/64ビット暗号化)または13(104/128ビット暗号化)文字を入力する必要があります。 WPA/WPA2 PSKユーザーでは、8〜63文字を入力します。 WEPを16進表記で入力できる非常に古いWEP実装を見てきました。