WAPとは
WPAはもともと、IEEE標準化委員会で策定が進められている「IEEE802.11i」標準規格に採用される予定であった暗号化規格の一部ですが、この規格は現在市場に流通しているIEEE802.11a/b機器では対応できませんでした。
このため、802.11i対応機器が普及するまでの間、在来機器のセキュリティを確保するため、サブセットであるWPAのみが先立って規格策定、公開されることとなりました。
WPA2
2002年に発表されたWPAの新バージョンWPA2はAES (Advanced Encryption Standard)という強力な暗号を使える点が魅力です。
AESはそれまでのRC4演算よりもずっと強力で、米国政府に採用されていて、128~256bitの可変長鍵を使い、それでいて計算負荷が低いという特徴を持っています。
WEPでは、TKIPという暗号化手順の中でRC4を使っていました。WPA2で TKIPに相当するのはCCMP (Counter Mode-CBC-MAC Protocol)です。
CBC-MACは「暗号ブロック連鎖(CBC) _ メッセージ認証コード(MAC)」の略です。
Pair-wise Master Master Key
暗号化のキーはWPAと同じぐPMK(Pair-wise Master Key)を起点にし、マルチキャストやブロードキャスト用のグループキーと、個々の端末間通信用のテンポラリキーを用意する点も同じです。
WPA2は、大元の認証キーであるPMKとセンターサーバーへの認証をキャッシュしたり、事前認証する機能を備えており、携帯電話やストリーミング再生機器の通信に高速移動性を提供します。
もし、事前認証や一時蓄積ができないと、通信の度にいちいち認証し直してマスタキーを共有し、グループキーや装置単位のキーを毎回やりとりして整合し直すことになります。
その間に生じるタイムラグへの対策は、単なるデータ通信以外のシステム領域にまで波及します。
WPA2ではマスタキーの共有と802.1x認証を済ませ、同報用のキーも持っているので、端末と基地局の間のキーだけを移動時に生成し整合すればよくなります。
またWPA2にも、PSKモードとEAPモードがあり、WPAの時と同じく、センター認証をする形がEAPモードで、PSKの方はキーを端末と基地局へ登録することでセンター認証を省略し、認証サーバーを不要にします。
キー生成のフローもWPAと同じです。マスタとなるPMKから双方向の4wayハンドシェイクをして、端末-基地局間通信のキーを生成?共有し、さらに2wayハンドシェークして同報用のキーを共有します。
そしてマスタキーを配布する部分がPSKでは削除され、手人力の値を起点にする点もWPAと同じです。
CCMPの暗号通信手順では、暗号化と改ざん防止符号の生成がいっぺんにできる点が特徴です。
WEPやWPAではICVやMICを用いていましたが、WPA2では、暗号化手順のなかで自然とMICを生成する形になり、復号も同様にCCMPの手順1つで済みます。
高速ローミングの範囲については、同じ802.1x対応スイッチの配下につながる 基地局同士を想定し、基本部分が検討されていて、端末から見て、通信相手となっている基地局との間の通信路を介して、他の近辺の基地局との間でも事前認証ができるよう工夫することが検討されています。
©2013,無線LANで繋がるネットワーク, All rights reserved.
