11月12日、13日の2日間に渡り、東京・表参道の青山ダイアモンドホールでセキュリティ関連セミナー「PacSec カンファレンス 2008」が開催されている。2日目のカンファレンスではドイツ・ダルムシュタット工科大学のErik Tews氏が、TKIPの解読に関する講演を行った。
■ WEP機器のアップグレードで対応できるTKIP
|
Erik Tews氏
|
Tews氏ははじめに、無線LANで広く利用されている暗号化方式「WEP」について説明。WEPは1996年から使われている方式であり、2001年には解読による攻撃が始まっていたとし、「最新の攻撃は無線トラフィックを1分程度キャプチャするだけで実現できる」とコメント。1つの秘密鍵を共有する方式のみをサポートし、企業向けの暗号鍵管理が考慮されていない、パケットを容易に改ざんできてしまうといった問題点が多く存在するとした。
こうした問題の解決策として、2003年からWPA(Wi-Fi Protected Access)が無線LANのセキュリティとして用いられるようになったとTews氏は説明。WPAはデータ暗号化方式と認証方式においてCCMP(AES)とTKIPという2つのモードがあるが、CCMPは暗号化に米国政府などでも採用されているAESを採用しており、WEP由来の技術も用いていないためセキュリティ面で優れていると説明。一方のTKIPは大部分のハードウェアがソフトウェアのアップグレードで対応できるというメリットがあるものの、暗号化のベースはWEPと同じRC4を用いており、採用する暗号化方式が違うと述べた。
Tews氏は「TKIPはアイディアとしてすばらしい」と評価した上で、TKIPの詳細を説明。WEPでは暗号鍵がすべてのパケット暗号化で共通に使われていたのに対して、TKIPではクライアント単位などで異なる暗号鍵を使用するほか、パケットごとに暗号鍵の交換スケジュールを設定するといった対策を追加。また、ヘッダー領域やメッセージの改ざん対策に加え、「MICHAEL」と呼ばれるメッセージの整合性を確認するアルゴリズムも攻撃対策として導入されたとした。
|
|
|
WEPの概要と問題点
|
WPAは暗号化方式と認証方式で異なる2つのモードをサポート
|
WEP対応機器がアップグレードで対応できるよう設計されたTKIP
|
■ TKIPの整合性アラートを利用して暗号を解読
|
MICHAELによるWEPとTKIPの違い
|
|
クライアントからの整合性確認失敗アラートが攻撃の要因に
|
TKIPでデータ改ざんを防ぐ具体的な方法としては、CRC32というアルゴリズムを利用して、データの整合性を確認するためのハッシュ値であるICV値を算出。値が一致しない場合は伝送エラーと判断してパケットを廃棄する。
ICV値が一致した場合は、次にMICHAELのアルゴリズムによってメッセージの整合性コード(MIC、Message Integrity Check)値を計算して確認。MICHAELの確認に失敗した場合は攻撃の可能性があるとし、クライアントからアクセスポイントに確認が失敗したとのアラートを送信。60秒に2回アラートを送信・受信した場合には暗号鍵の交換を最初からやり直すことで、外部からの攻撃を防いでいるとした。
しかしTews氏は、このMICHAELによる確認失敗を知らせるアラートの送信が、外部からの攻撃を招く要因になると指摘。「アラートが送信されるということは、CRC32 ICVは一致したがMICHAELは一致しなかったことがわかる」とし、この点を利用して暗号化された平文データや全ヘッダといったアクセスポイントからクライアント宛て通信のMICHAELキーを復元できるとした。
Tews氏はこれら技術を踏まえ、「現状ではアクセスポイントからクライアント方向へのTKIP暗号化パケットの解読とMICHAELキーの復元、クライアント宛にカスタマイズしたパケットの送信が可能」と説明。具体的な攻撃方法としてはDoS攻撃や、インターネットから送信元アドレスを偽装したパケットを注入するといった手段が可能になるとした。
ただし、「MICHAELキーを復元しただけで、データの暗号化キーはまだ不明の状態」とコメント。「MICHAELキーとデータ暗号化キーの両方を解読できるか、キーストリームをさらに復元できるかといった課題もある」とし、TKIPがすべて解読できたわけではないことを説明した。
これら現状のTKIPに対する攻撃への対策としては「基本的には何もできないだろう」とした上で、「MICHAELのアラート送信を無効にするにはすべてのクライアントにパッチが必要。アラート後に対策を発動するのではネットワークが頻繁にダウンする可能性もある」とその理由を説明。「暗号化方式は5年程度が寿命であり、もうTKIPを使わないというのも良い方法だろう」との考えを示した。
|
|
|
TKIPの暗号化キー解読
|
データ暗号化キーはまだ解読できていないが、今後さらなる手法の可能性があるという
|
現状で考えられるTKIPへの攻撃手法
|
|
|
|
TKIP解読で実現できていること
|
TKIP解読でまだ実現できていないこと
|
TKIPへの攻撃に対する防御策
|
■ URL
PacSec カンファレンス 2008
http://pacsec.jp/index.html?language=ja
(甲斐祐樹)
2008/11/13 19:29
|