HTTPデータがパスワードで保護されたWifiを介してクリアテキストで送信されるのはなぜですか?
私の家には、パスフレーズを使用して、WPA2-PSK(WPA2 Personal)で保護されたルーターがあります。
インターネット経由でページにログインしようとすると(このページではHTTPSを使用してログインしていません)、すべてのデータがクリアテキストで送信されます(Wiresharkで入力したパスワードが表示されるため)。
何故ですか?つまり、私のWiFiは保護されているので、すべての通信を暗号化する必要があります。
つまり、私のWiFiは保護されているので、すべての通信を暗号化する必要がありますよね?
それはあなたがそれを読んでいる場所ではありませんが。暗号化は「パイプライン」の特定のポイントで行われ、復号化は「パイプライン」の特定のポイントでも行われる必要があります(それ以外の場合、データは無意味です)。データが復号化された後、データを監視しています。HTTPSを使用している場合は不可能です(代わりに、サーバーで始まり、ブラウザーで終わるエンドツーエンドの暗号化を提供します)。
Wiresharkを使用してHTTPSトランザクションのコンテンツをキャプチャしようとすると、次のようになります。
+--------+ (encrypted) +----------+ (encrypted) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (e)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (e)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
ここでは、ブラウザは最初にHTTPSトランザクションを「所有」しているため、データを復号化する方法を認識しています。 Wiresharkインスタンス(エンドツーエンドの暗号化というまさにその目的により、このシナリオの他のスヌーパーと同じように扱われます)はそうではありません。
しかし、ワイヤレス暗号化はルーターで始まり、PCのネットワークカードで終わるので、結果は次のようになります。
+--------+ (plaintext) +----------+ (plaintext) +--------+
| Server | ----------->| Internet |------------>| Router |
+--------+ +----------+ +--------+
|
| (encrypted)
+------------------+---+
| Your PC | |
| +-----------+ (p)| |
| | Browser |<---+ |
| +-----------+ | |
| +-----------+ (p)| |
| | Wireshark |<---/ |
| +-----------+ |
+----------------------+
ここでは、ネットワークカードによって暗号化が解除されているため、PC上のあらゆるものがデータを読み取ることができます。そうでなければ、どのアプリケーションがデータを復号化しますか?何もうまくいきません。
HTTPSとWPA2-PSKの間にはほとんど関係がありません。彼らは完全に異なる仕事をします。
WPA2-PSK(またはその他のネットワーク暗号化アルゴリズム)を備えたルーターを使用しても、すべてのサイトでhttpsの使用が強制されるわけではありません。つまり、暗号化されていないトラフィックは、ネットワークに接続していない人には見えません。
ブラウザとWebサイト間の関係としてHTTPSを検討してください。
デバイスとアクセスポイント間の関係としてWPA2-PSKを検討してください。
コンピューターでWiresharkを実行すると、コンピューターが「見る」ことができるトラフィックがキャプチャされます。
HTTP Webサイトの閲覧中にWiresharkを実行すると、コンピューターはデータをクリアテキストで「表示」します。これは、Wi-Fi暗号化が「リンクレイヤー」と呼ばれるルーター/アクセスポイントレベルで行われるためです。
一方、HTTPS Webサイトの閲覧中にWiresharkを実行すると、Wi-Fi暗号化を使用していない場合でも、Wiresharkは暗号化されたデータを「認識」します。これは、HTTPS暗号化(SSL/TLS)がブラウザーレベルで発生するためです。正確には、「アプリケーション層」で。
このように考えてください。
アクセスポイントを使用すると、複数のデバイスをインターネットに接続できます。暗号化の種類がなければ、デバイス(ワイヤレスネットワークの内部または外部にかかわらず)は、ネットワークに接続されたデバイスとの間のトラフィックをクリアテキストで "確認"できます。 Wi-Fi暗号化により、ネットワーク外のデバイスがトラフィックを見ることができなくなり(これがパスフレーズの使用目的です)、ネットワーク内のデバイスが互いにスパイするのを防ぎます(ビットを単純化し、データはデバイスごとに異なるキーで暗号化されます)。したがって、アリスとボブがアクセスポイントAPに接続されている場合、(ネットワークの外にいる)イブはアリスとボブに関連するトラフィックを見ることができないだけでなく、ボブはアリスが何をしているかを見ることができません。
ただし、Wi-Fiネットワークの所有者は、アリスとボブが何をしているかを簡単に確認できます。
類推
暗号化(今のところ)を一連のチューブと考え、データをそれらのチューブを介して送信される文字と考えてください。
ワイヤレスネットワークは、郵便局(アクセスポイント)も含まれているため、メッセージの読み取り、書き込み、および送信ができる大きな部屋です。
郵便局では、別のボックスを使用して、おそらく世界の他の部分で、手紙を誰かに送ることができます。それは手紙に書かれたアドレスをチェックして、それに送ることによってそうします。
Wi-Fi暗号化が使用されている場合、部屋はロックされ、すべてのユーザーが個別のチューブを使用して、メッセージを送受信できます。
インターネットは、巨大な部屋の外にあるすべてのものです。アリスとボブは部屋の中にいて、イブは部屋の外にいます。
免責事項:簡潔にするために、このコンテキストでtalk = writeおよびread
1)部屋が施錠されておらず、チューブがなく、クリアテキストのハガキを送信していた場合(Wi-Fi暗号化なし、HTTPSなし)、郵便局は正常に機能します(正しく送受信されます)手紙)、しかし非常に不安定なもの。アリスはボブから送られた手紙をつかむことができ、逆もまた同様です。さらに、誰でも郵便局に入って手紙をつかむことができました。言い換えれば、それは巨大な混乱になるでしょう。
2)Wi-Fi暗号化、HTTPSなしは、一人あたり1つのチューブを使用するロックされた部屋に対応するため、アリスはボブが送受信した手紙を取得できません。明らかに、部屋にいなくても、イブは何も見ることができません。ただし、これらの文字はクリアテキストのポストカードであり、コンテンツは暗号化されていません。つまり、郵便局はあなたが送受信するすべてのものを見ることができます。
さて、あなたはこれが好きではないかもしれません。郵便局がディスパッチするだけでよいのに、なぜ郵便局がメッセージを読むことができるのでしょうか?次に、通信相手に同意し、コード化または暗号化されたポストカードを書くことにします。たとえば、HI MIKEはFJSDJHDNFSJになります。
このように、郵便局はあなたとあなたの友人が話していることを理解できません。
3)暗号化されたカードと明確なチューブのないロックされていない部屋を含むシステムはWi-Fi暗号化はありませんがHTTPSに似ています。そのため、郵便局はあなたが何を書いて読んでいるかを知りません。イブ(ロックされた部屋の外にいるが、部屋を出るときに手紙を見ることができます)はメッセージを収集またはコピーできますが、メッセージを理解できません。すべて元気ですよね?うーん、ダメ。ボブ、イブ、および他の人々(ネットワークの内部と外部の両方)は、あなたが話している相手を引き続き見ることができます。
4)システムに個別のチューブおよび暗号化ポストカードを備えた施錠された部屋が含まれる場合、これはWi-Fi暗号化+ HTTPSに似ています、かなりいいですね。あなたが何を話しているのか誰も知らず、あなたが話している相手を知っているのは郵便局だけです。
TL; DR。パスワードで保護されたWi-Fi上のHTTPにより、あなたとアクセスポイントの所有者は、同じネットワーク上の他の人がトラフィックを読み取ることができない場合でも、トラフィックを読み取ることができます。
パスワードで保護されたWi-Fi上のHTTPSは、あなただけがトラフィックを読み取ることができ、アクセスポイントの所有者だけがアクセスしているWebサイトを知っていることを意味します。
余談ですが、アクセスしているWebサイトをAP所有者に知られたくない場合は、VPNやTorなどの他のソリューションを使用する必要があります。
Wi-FiがWPA2で保護されているということは、コンピューターからルーターに無線で送信される信号が暗号化されていることを意味するだけです。そこから(ルーターからISPのネクストホップへ、そして最終的にはリクエストを処理するWebサーバーへ)トラフィックは暗号化されません。
ただし、httpsはエンドツーエンドの暗号化を提供します。一方の端は(あなたの側の)ブラウザで、もう一方の端はリクエストを処理するWebサーバーです。エンドツーエンドとは、これら2つのエンド間のエンティティがプレーンテキストを表示できないことを意味します。任意のhttps Webサイトを確認すると、Wiresharkは何も表示できません。wiresharkはネットワークインターフェイスでリッスンし、ブラウザーがすでに暗号化した後にのみデータを取得するためです。一方、WPA2はエンドツーエンドではありません。ネットワークデバイスが暗号化を処理します(デバイスが暗号化する前にWiresharkがデータを傍受します)。そのため、クリアテキストデータが表示されます。
ここで重要なポイントは、wifiルーターとWebサーバーの間でデータを取得するすべてのインターネットルーターで、他の誰もがコンピューターで実行できることです。したがって、ホームネットワークの無線送信部分のプライバシーを保護する手段としてWPA2を検討してください。インターネットを経由する通信の機密性が必要な場合は、エンドツーエンドの暗号化プロトコル(httpsなど)が最適な方法です。
ここには、さまざまな程度の不正確さでさまざまなアイデアが出回っています。
WPAxは、デバイスとワイヤレスアクセスポイント(AP)の間の無線を介して、他の場所(ルーターを含む)のトラフィックを暗号化します。
「ルーター」または「モデム」と呼ぶデバイスが1つしかない場合でも、実際には(通常)4つのデバイスがあります。これらはすべて、利便性とホームユーザーのネットワーク構成を容易にするために、同じボックスに組み込まれています。私のネットワークでは、文字通りこれらすべてが物理的に別個のデバイスです。
あなたが持っている:
- モデム:通常、ケーブルまたはDSL。これは、イーサネットパケットをホームネットワークからインターネットにブリッジします。
- ルーター:異なるネットワーク間でこのroutesパケットを送信し、通常はセキュリティのためのファイアウォール機能
- イーサネットスイッチ:スイッチに接続されているものはすべて同じローカルエリアネットワーク(LAN)上にあります。
- ワイヤレスアクセスポイント(AP):ワイヤレスデバイスの接続先
WPAxonlyは、デバイスとAP間のパケットを暗号化します。
APはパケットを復号化し、それらを通常の古いイーサネットパケットに変換して、スイッチに転送します。そのスイッチに接続されている他のものが、プレーンテキストでパケットを読み取る可能性があります。
ルーターはまたスイッチに接続されており、モデムはルーターまたはスイッチに接続されています。
トラフィックパスは次のようになります。
[device ----- AP] ---- switch ---- router ---- modem -> Internet
WPAx |
|
computer, printer?
WPAxはワイヤレスのみのセキュリティプロトコルです。これは、デバイスとアクセスポイント間のパスの一部です。コンピューターをケーブルでスイッチに接続している場合、そのコンピューターは「ワイヤレス」トラフィックを暗号化せずに見ることができ、同様にルーターとモデムを介してインターネットに送信されるパケットも暗号化されません。
WPA2-PSK暗号化は、PCワイヤレスカードとWifiルーター間の無線電波放射を保護するためのものです。 PCクライアント(Webブラウザーなど)とリモートサーバー間で転送されるペイロード(データ)は、暗号化(SSLなど)することも暗号化しないこともできます-これは別のレイヤーです。 WPA2-PSKがないと、近距離(〜50メートル)の誰もがすべてのトラフィックをスパイできます。簡単な比較のために、WPA2-PSKを使用するWifiは、外部の人々がアクセスできない家の内部に通じるイーサネットケーブルであり、WPA2-PSKなしでは、同じケーブルが公共の場所(通り、屋根など)を経由するとします。
「インターネットプロトコル」というものがありますが、インターネットを構成する単一のプロトコルはありません。むしろ、インターネットは多くの異なるプロトコルで構成されており、そのうちのいくつかは同時に使用されてスタックと呼ばれるものを形成します。
スタックの最下位層はリンク層と呼ばれ、直接接続されている2つのマシン間で信号を取得する方法の問題を処理します。イーサネットはリンク層プロトコルの例です。したがってWi -Fi、およびPPP=(モデムで最も有名に使用されますが、DSLおよび携帯電話も舞台裏で使用します)。
次のレイヤーはインターネットレイヤーと呼ばれ、2つのマシン間でが直接接続されていないでない信号を、一連のマシンを使用して直接接続する方法です。IP(「インターネットプロトコル」(上記)はここにあります。リンクレイヤーは、気にする必要がないことに注意してください方法マシンが接続されている:理論的には、データがWi-Fi、イーサネット、PPPを通過する可能性があります、そして目的地への途中のよりエキゾチックな種類のリンク、そしてそれは何の違いもありません。
この上にトランスポート層があります。これは、信号を受け取り、それをある意味のあるデータに変換します。TCPは、これらの信号を収集して、より長い持続的な「接続」に変換します。UDPも同様です。他の多くのことと同様に、接続についての心配は少なく、データのビットを前後に爆破するだけです。
最後にアプリケーションレイヤー、トランスポートレイヤーからのデータが特定の目的で解釈されます。HTTPはここにあり、さまざまなメッセージングプロトコル、ほとんどのゲームプロトコル、そして私たちが考えるときに考えがちな他のほとんどのものと同様ですインターネットについて考えてください。
上記のすべてが重要である理由は、Webトラフィックの暗号化はレイヤー以下の暗号化が発生するレイヤー。WPA =リンク層プロトコルであるWi-Fiを保護します。トラフィックは実際に暗号化されますが、直接接続されている2台のマシン間でのみ暗号化されます。これは、リンク層プロトコルが機能するためです。Wiresharkは、トラフィックが到達するまでの時間は、すでに復号化されています。
Wiresharkが接続の内容を盗聴できないようにするには、Wiresharkが動作するよりも上位の層で暗号化する必要があります。これにより、Wiresharkがそれを見るまでに復号化されません。これがSSL/TLSの目的です。これはアプリケーション層で機能します(ただし、別のトランスポート層のように機能するため、「トランスポート層セキュリティ」という名前です)。そのため、Wiresharkを実行すると、暗号化されたテキストが表示されます。実際にはこの方法でWiresharkを取得する方法ですが、Wiresharkが中間者として機能できるように接続を根本的に変更する必要があります。暗号化キーがわかっていない限り、これはあなたができることではありません。接続を使用します。