最近、RADIUS EAPを備えたサーバーをワイヤレスルーター用に設定しましたが、キーサイズとWPA2エンタープライズ(AES)の一般的な動作についていくつか質問があります。
エンタープライズモードでは、ワイヤレスAPとそれに接続されているデバイス間のトラフィックを暗号化するために使用されるキーがランダムに生成され、ユーザーが接続/再接続するたびに期限切れになることを確認しました。 WPA2-PSKでは、キーの最大長が256ビットであることも知っています。
ただし、WPA2エンタープライズのキー生成が行われる場所、およびランダムなキーの生成とネゴシエーションの負荷がどのデバイスにあるかを示す場所を見つけることができませんでした。キーはAPによって生成されますか? RADIUSサーバーによって生成されますか?暗号化キーの長さは?
また、トラフィックが暗号化されているかどうかを実際に確認する方法はありますか?
ありがとう!
あなたは各セッションが擬似ランダムに生成されたキーのセットを使用していると考えるのは正しいです。ネットワークが事前共有キー(PSK)を使用するように設定されている場合、プロセスは次のように機能します。
この時点以降、APとデバイス間のメッセージは、AESを使用して暗号化され、TKは両方のデバイスによって導出されます。 Rxはデバイスから送信されたメッセージにMACを作成するために使用され、TxはAPから送信されたメッセージにMACを作成するために使用されます。
KEKの使用については言及されていないことに注意してください。私はその使用について完全にはわかりませんが、認証ハンドシェイクの実装固有の拡張を可能にするために標準に追加されたと思います。
この答えはあなたが探していたものよりも理論的なものかもしれませんが、それが役に立てば幸いです。
Mckiethanksの回答への追加として、KEKはGTK(Group Temporal Key)の暗号化に使用されていると思います。
このGroup Temporal Keyは、APとSTA間のブロードキャストおよびマルチキャストトラフィックを暗号化するために使用されます。このキーは、4ウェイハンドシェイク中にAPからSTAに送信され、明らかに暗号化する必要があります。したがって、このKEKは、安全な送信のためにこのキーを暗号化するために使用されます。