警告暗号化されたWPA2 Wi-Fiネットワークは依然としてスヌーピングに対して脆弱です
今では、ほとんどの人はオープンWi-Fiネットワークが人々があなたのトラフィックを盗聴することを可能にすることを知っています。標準的なWPA2-PSK暗号化はこれが起こるのを防ぐことになっています - しかし、それはあなたが思うかもしれないほど簡単ではありません.
これは、新しいセキュリティ上の欠陥に関する大きなニュースではありません。むしろ、これはWPA2-PSKが常に実装されている方法です。しかし、それはほとんどの人が知らないものです.
オープンWi-Fiネットワークと暗号化Wi-Fiネットワーク
あなたは自宅でオープンWi-Fiネットワークをホストするべきではありませんが、あなたは公衆の中で自分自身でそれを使用しているかもしれません - 例えば、コーヒーショップで、空港を通過する間、またはホテルで。オープンWi-Fiネットワークは暗号化されていないため、無線で送信されたものはすべて「平文」で送信されます。はい、オープンWi-Fiネットワークにサインインした後にWebページでユーザー名とパスワードで「ログイン」しなければならない場合も同様です。.
暗号化 - 私たちがあなたが自宅で使うことをお勧めするWPA2-PSK暗号化のように - これをいくらか修正します。近くの誰かが単にあなたのトラフィックを捉えてあなたを詮索することはできません。彼らはたくさんの暗号化されたトラフィックを受け取るでしょう。これは、暗号化されたWi-Fiネットワークがプライベートトラフィックを詮索されるのを防ぐことを意味します.
これは一種の本当です - しかし、ここで大きな弱点があります.
WPA2-PSKは共有キーを使用します
WPA2-PSKの問題は、「事前共有キー」を使用することです。このキーはパスワード、つまりパスフレーズです。Wi-Fiネットワークに接続するには、入力する必要があります。接続する人全員が同じパスフレーズを使用します.
誰かがこの暗号化されたトラフィックを監視するのはとても簡単です。必要なのは、
- パスフレーズ:Wi-Fiネットワークへの接続を許可されている人は誰でもこれを利用できます.
- 新しいクライアントのアソシエーショントラフィック注:接続時にルーターとデバイス間で送信されたパケットを誰かがキャプチャしている場合は、トラフィックを復号化するために必要なものがすべて揃っています(もちろんパスフレーズも含まれていると仮定して)。また、Wi-Fiネットワークからデバイスを強制的に切断して強制的に再接続させ、再度アソシエーションプロセスを発生させる「不正」攻撃を介してこのトラフィックを取得することも簡単です。.
本当に、これがどれほど単純であるかを強調することはできません。 Wiresharkには、事前共有キーがあり、アソシエーションプロセスのためにトラフィックをキャプチャしている限り、WPA2-PSKトラフィックを自動的に復号化するための組み込みオプションがあります。.
これが実際に何を意味するのか
これが実際に意味することは、あなたがネットワーク上の全員を信用していないのであれば、WPA2-PSKは盗聴に対してそれほど安全ではないということです。あなたのWi-Fiパスフレーズは秘密であるため自宅では、あなたは安全でなければなりません.
しかし、あなたが喫茶店に出かけて、彼らがオープンWi-FIネットワークの代わりにWPA2-PSKを使用するならば、あなたはあなたのプライバシーにおいてはるかにより安全に感じるかもしれません。しかし、そうすべきではありません - 喫茶店のWi-Fiパスフレーズを持っている人なら誰でもあなたの閲覧トラフィックを監視することができます。ネットワーク上の他の人々、またはパスフレーズを持っている他の人々は、必要に応じてトラフィックを詮索する可能性があります。.
これを考慮に入れてください。 WPA2-PSKは、ネットワークにアクセスできない人々が詮索するのを防ぎます。ただし、一度ネットワークのパスフレーズを取得すると、すべてのベットは無効になります。.
WPA2-PSKがこれを止めようとしないのはなぜですか?
WPA2-PSKは実際には「ペアワイズトランジェントキー」(PTK)を使用してこれを阻止しようとします。各ワイヤレスクライアントには一意のPTKがあります。ただし、クライアントごとの一意のキーは常に事前共有キー(Wi-Fiパスフレーズ)から派生するため、これはあまり役に立ちません。Wiを持っている限りクライアントの一意のキーを取得するのは簡単なことです。 Fiパスフレーズ。アソシエーションプロセスを介して送信されたトラフィックをキャプチャできます。.
WPA2-Enterpriseはこれを解決します…大規模ネットワークの場合
安全なWi-Fiネットワークを必要とする大規模な組織の場合、このセキュリティの弱点は、RADIUSサーバーとのEAP認証(WPA2-Enterpriseと呼ばれることもあります)を使用することで回避できます。このシステムでは、各Wi-Fiクライアントは本当に一意の鍵を受け取ります。他のクライアントでスヌーピングを開始するだけの十分な情報を持っているWi-Fiクライアントはないため、これによりはるかに高いセキュリティが提供されます。このため、大規模な企業のオフィスまたは政府機関はWPA2-Entepriseを使用する必要があります。.
しかし、これは非常に複雑で複雑であり、大多数の人々、さらにはほとんどのオタクにとって、自宅で使用するには不可能です。接続したいデバイスに入力する必要があるWi-FIパスフレーズの代わりに、認証とキー管理を処理するRADIUSサーバーを管理する必要があります。これは、ホームユーザーにとっては設定がはるかに複雑です。.
実際、Wi-Fiネットワーク上の全員、またはWi-Fiパスフレーズへのアクセス権を持つ全員を信頼しているのであれば、時間の価値さえありません。これは、あなたがWPA2-PSKで暗号化されたWi-Fiネットワークに接続している場合にのみ必要です。たとえば、コーヒーショップ、空港、ホテル、さらには大規模なオフィスなどです。 FIネットワークのパスフレーズ.
それで、空は落ちていますか?いいえ、もちろん違います。しかし、これを覚えておいてください:あなたがWPA2-PSKネットワークに接続しているとき、そのネットワークにアクセスする他の人々はあなたのトラフィックを簡単に詮索することができます。ほとんどの人が信じているかもしれませんが、暗号化はネットワークへのアクセス権を持つ他の人に対する保護を提供しません。.
公衆Wi-Fiネットワーク上の機密性の高いサイト、特にHTTPS暗号化を使用していないWebサイトにアクセスする必要がある場合は、VPNまたはSSHトンネルを介してアクセスすることを検討してください。公衆網でのWPA2-PSK暗号化は十分ではありません.
Image Credit:FlickrのCory Doctorow、Flickrの食品グループ、FlickrのRobert Couse-Baker