Friday , March 22 2019
Home / All / Wi-Fiの新セキュリティ・・・WPA2から進化したWPA3の仕組み
WPA3 Network Security

Wi-Fiの新セキュリティ・・・WPA2から進化したWPA3の仕組み

Wi-Fiの新セキュリティーWPA3

2018年6月25日(米国時間)、Wi-Fiセキュリティの新規格となる「WPA3(Wi-Fi Protected Access 3)」が正式発表され、同月28日にはWi-Fiの認可団体であるWi-Fi Alliance(以下WFA)のマーケティング担当バイスプレジデントのケビン・ロビンソン氏が都内でWPA3を含むWi-Fiセキュリティの最新動向を説明しました。今回はこの新しいセキュリティWPA3についての説明をしたいと思います。

WPA2からWPA3

現在、標準的に利用されているセキュリティはWPA2ですが、WPA3はWPA2の後継となるセキュリティ機能を向上した暗号化プロトコルです。

WPA2は、2017年末頃にKey Reinstallation AttaCKs(以下、KRACKと記す)に関する脆弱性が指摘されましたが、WPA2の仕様自体に問題があった訳ではなく、実装方法に関する問題でした。乱数を利用して初期化時に毎回異なる値を発生させることが必要であったのですが、この実装が抜けていた機種がありアップデート対応が必要となりました。

今回説明するWPA3は、この様な不十分な実装でも安全に通信可能な工夫が盛り込まれています。即ちKRACKの脆弱性もWPA3で解消されています。尚、WPA3の仕様検討はKRACK問題がトリガーとなった訳ではなく、以前からWi-Fi AllianceはWPA3の準備を進めていました。また、WPA2がなくなるわけでもなく認定プログラムは今後も継続されます。

2つの運用モード

WPA3は、以下2つのモードが提供されております。

  • WPA3-Personal — 個人・家庭向け
  • WPA3-Enterprise — 企業・組織向け

これら2つのモードの特徴とそれぞれのWPA2とのポイントとなる変更点は以下の通りです。

 

特徴1: WPA3-Personal — SAE

WPA2-Personalは、PSK(Pre-Shared Key)という共有パスワードキーを使用していましたがWPA3は、パスワードキーを使わないSAEという方法を採用しています。SAEは、Simultaneous Authentication of Equalsの略で、通称「Dragonfly(トンボ)」とも呼ばれています。元々IEEE802.11s Wi-Fiメッシュネットワーク技術(※)で検討されていた方法です。

基本的なWi-Fi認証は、アクセスポイント(サーバー役)とクライアント間で行われますがメッシュネットワークの場合、誰がアクセスポイント役で誰がクライアント役なのか、状況によって入れ替わります。その様子が、トンボの集団飛行に似ていることから、SAEはDragonflyと呼ばれています。

SAEは、アクセスポイント役、クライアント役が決まっていません。またパスワードをそのまま認証に使わずに通信の都度、演算を行い高度なカギを双方で同時に生成しその一致を確認します。また、キーは認証するたびに演算・生成されるのでキーが漏洩しても通信内容を盗み見る事が可能なのは、その時の通信だけに限られます。

※メッシュネットワーク

相互通信機能を持った機器同士が故障等で使用できなくなった経路が発生しても、継続的に接続や再構成を繰り返し、機器へのデータ通信を行います。以下の様に網の目(メッシュ)状に形成された通信ネットワークを指し、無線LAN(Wi-Fi)の通信機能を持った端末同士で形成されています。

特徴2: WPA3-Enterprise — 192ビット暗号化

WPA3-Enterpriseは、従来の128ビットよりも更にセキュリティ強度が高い192ビット暗号化も認証として使用できます。IEEE 802.1x認証サーバーを利用し、暗号化アルゴリズム選択肢として、新たに192ビットCNSA(Commercial National Security Algorithm)技術を採用したプロトコルです。

尚、CNSAは米国NSA(国家安全保障局)も政府内通信に採用しており、WPA2で利用できたAES(Advanced Encryption Standard)よりもさらに高強度の通信暗号化を実現しています。尚、このCNSAは政府機関や金融機等のネットワークへも強固なセキュリティを提供するものだとしています。

因みに、CNSA 192ビット暗号化を選択した場合は、ネットワーク管理者が個々のアクセスポイントを設定する際、誤って強度の低いモードに設定できない仕組みも提供されています。管理者が構築した組織内でのネットワーク中に弱いリンク(Weakest Link)が生じることを防ぎ、ネットワーク全体のセキュリティを維持することが可能です。

今後の展開

WPA3に対応する無線LANルータやアクセスポイント、クライアントデバイスなどの製品が各メーカーから市場投入される見込みです。具体的には2019年後半からの出荷される製品に搭載されると見られており、WPA3対応製品を使用する事で、私達が使用している無線通信のセキュリティが現在よりも高まる事が期待されます。

<参考元>

・ASCII.jp × TECH http://ascii.jp/elem/000/001/702/1702227/

・ZDNet Japan https://japan.zdnet.com/article/35121625/

・テレコミュニケーション_August 2018

Check Also

MCPC安全充電デザインガイドラインとモバイル充電安全認証について

デザインガイドラインと認証の背

Leave a Reply

Your email address will not be published. Required fields are marked *

Subscribe to get MCPC Technical Paper.
Subscribe
close-image
Subscribe to get the UHD Technical Paper.
Subscribe
close-image
Subscribe to get HDMI Technical Paper.
Subscribe
close-image
Subscribe to get Wi-Fi Technical Paper.
Subscribe
close-image
Subscribe to get USB Technical Paper.
Subscribe
close-image