Broadband Watch logo
【 2009/10/09 】
【CEATEC JAPAN 2009】
DLNA講演、Windows 7で強化されたホームネットワーク機能を解説
【CEATEC JAPAN 2009】
アクトビラ木村社長講演、「2011年までに600万接続を目指す」
【 2009/10/08 】
【CEATEC JAPAN 2009】
テレビ見ながらネットする人向けのサービス展開、ヤフー井上社長
【CEATEC JAPAN 2009】
CEATEC JAPAN、8日の開場時間を13時に変更。台風18号の影響で
【 2009/10/07 】
【CEATEC JAPAN 2009】
8日開催の基調講演は台風18号の影響で中止に
【CEATEC JAPAN 2009】
Andorid向けの待ち合わせアプリ「待ちぴったん」がデモ出展
【CEATEC JAPAN 2009】
PacketVideo、iPhoneやAndroidでDLNA機器を操作できるアプリ
【CEATEC JAPAN 2009】
近接無線転送技術「TransferJet」の対応機器を各社が参考出展
【CEATEC JAPAN 2009】
ヤマハ、自動演奏ピアノでiPhoneやセカイカメラ、女性ロボと連携
【CEATEC JAPAN 2009】
シャープ、ワンソースで複数機器に対応の電子書籍ソリューション
【 2009/10/06 】
【CEATEC JAPAN 2009】
シャープとヤフー、放送とネット連携の番組表機能などを紹介
【CEATEC JAPAN 2009】
KDDIのLTEデモ、HD動画の転送や遅延の少なさをアピール
【CEATEC JAPAN 2009】
データ放送と動画ダウンロードが連携のIPTVサービスが参考出展
【CEATEC JAPAN 2009】
パナソニック、11n搭載の小型テレビやGoogleマップ対応テレビ
【CEATEC JAPAN 2009】
UQ Com、鉄道や高速道路など「UQ WiMAX」の活用シーンを紹介
【CEATEC JAPAN 2009】
「CEATEC JAPAN 2009」が幕張メッセで開幕
【 2009/09/24 】
【東京ゲームショウ2009】
マイクロソフト、「Project Natal」を関係者向けに公開
【東京ゲームショウ2009】
「FF XIII」など、大手各社が冬商戦の新作タイトルを出展
【東京ゲームショウ2009】
SCEJはPSP go実機を出展
新サービス「R∞M」や期待作のデモも
【PacSec カンファレンス 2008】
「TKIPの暗号を解読」についてドイツの研究者が講演

 11月12日、13日の2日間に渡り、東京・表参道の青山ダイアモンドホールでセキュリティ関連セミナー「PacSec カンファレンス 2008」が開催されている。2日目のカンファレンスではドイツ・ダルムシュタット工科大学のErik Tews氏が、TKIPの解読に関する講演を行った。


WEP機器のアップグレードで対応できるTKIP

Erik Tews氏
 Tews氏ははじめに、無線LANで広く利用されている暗号化方式「WEP」について説明。WEPは1996年から使われている方式であり、2001年には解読による攻撃が始まっていたとし、「最新の攻撃は無線トラフィックを1分程度キャプチャするだけで実現できる」とコメント。1つの秘密鍵を共有する方式のみをサポートし、企業向けの暗号鍵管理が考慮されていない、パケットを容易に改ざんできてしまうといった問題点が多く存在するとした。

 こうした問題の解決策として、2003年からWPA(Wi-Fi Protected Access)が無線LANのセキュリティとして用いられるようになったとTews氏は説明。WPAはデータ暗号化方式と認証方式においてCCMP(AES)とTKIPという2つのモードがあるが、CCMPは暗号化に米国政府などでも採用されているAESを採用しており、WEP由来の技術も用いていないためセキュリティ面で優れていると説明。一方のTKIPは大部分のハードウェアがソフトウェアのアップグレードで対応できるというメリットがあるものの、暗号化のベースはWEPと同じRC4を用いており、採用する暗号化方式が違うと述べた。

 Tews氏は「TKIPはアイディアとしてすばらしい」と評価した上で、TKIPの詳細を説明。WEPでは暗号鍵がすべてのパケット暗号化で共通に使われていたのに対して、TKIPではクライアント単位などで異なる暗号鍵を使用するほか、パケットごとに暗号鍵の交換スケジュールを設定するといった対策を追加。また、ヘッダー領域やメッセージの改ざん対策に加え、「MICHAEL」と呼ばれるメッセージの整合性を確認するアルゴリズムも攻撃対策として導入されたとした。


WEPの概要と問題点 WPAは暗号化方式と認証方式で異なる2つのモードをサポート WEP対応機器がアップグレードで対応できるよう設計されたTKIP

TKIPの整合性アラートを利用して暗号を解読

MICHAELによるWEPとTKIPの違い

クライアントからの整合性確認失敗アラートが攻撃の要因に
 TKIPでデータ改ざんを防ぐ具体的な方法としては、CRC32というアルゴリズムを利用して、データの整合性を確認するためのハッシュ値であるICV値を算出。値が一致しない場合は伝送エラーと判断してパケットを廃棄する。

 ICV値が一致した場合は、次にMICHAELのアルゴリズムによってメッセージの整合性コード(MIC、Message Integrity Check)値を計算して確認。MICHAELの確認に失敗した場合は攻撃の可能性があるとし、クライアントからアクセスポイントに確認が失敗したとのアラートを送信。60秒に2回アラートを送信・受信した場合には暗号鍵の交換を最初からやり直すことで、外部からの攻撃を防いでいるとした。

 しかしTews氏は、このMICHAELによる確認失敗を知らせるアラートの送信が、外部からの攻撃を招く要因になると指摘。「アラートが送信されるということは、CRC32 ICVは一致したがMICHAELは一致しなかったことがわかる」とし、この点を利用して暗号化された平文データや全ヘッダといったアクセスポイントからクライアント宛て通信のMICHAELキーを復元できるとした。

 Tews氏はこれら技術を踏まえ、「現状ではアクセスポイントからクライアント方向へのTKIP暗号化パケットの解読とMICHAELキーの復元、クライアント宛にカスタマイズしたパケットの送信が可能」と説明。具体的な攻撃方法としてはDoS攻撃や、インターネットから送信元アドレスを偽装したパケットを注入するといった手段が可能になるとした。

 ただし、「MICHAELキーを復元しただけで、データの暗号化キーはまだ不明の状態」とコメント。「MICHAELキーとデータ暗号化キーの両方を解読できるか、キーストリームをさらに復元できるかといった課題もある」とし、TKIPがすべて解読できたわけではないことを説明した。

 これら現状のTKIPに対する攻撃への対策としては「基本的には何もできないだろう」とした上で、「MICHAELのアラート送信を無効にするにはすべてのクライアントにパッチが必要。アラート後に対策を発動するのではネットワークが頻繁にダウンする可能性もある」とその理由を説明。「暗号化方式は5年程度が寿命であり、もうTKIPを使わないというのも良い方法だろう」との考えを示した。


TKIPの暗号化キー解読 データ暗号化キーはまだ解読できていないが、今後さらなる手法の可能性があるという 現状で考えられるTKIPへの攻撃手法

TKIP解読で実現できていること TKIP解読でまだ実現できていないこと TKIPへの攻撃に対する防御策

関連情報

URL
  PacSec カンファレンス 2008
  http://pacsec.jp/index.html?language=ja


(甲斐祐樹)
2008/11/13 19:29
BB Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.