無線のセキュリティでTKIPとAESのどっち使うか迷ったらAESにしようという話
無線LANが一般家庭に普及して久しく、我が家でも当然のように無線LANルーターなるものを利用しているわけですが、セキュリティ面に関しては恥ずかしながら未だにふわっとした感覚で設定しておりました。
WPAよりWPA2のほうが数字大きいから強そうやろ、とか。TKIPよりAESのほうが耳馴染みのある言葉だからAESにしとこ、みたいな。
20年くらい前、ビジネスホテルやリゾートホテルに入れる予約システムや、レストランのPOSシステムを開発していたので、その頃から2Mbpsという超遅い無線をホテルのフロントからバックヤードに飛ばしたり、道路を挟んで2棟建っているホテル間を同一ネットワークで管理するためにパラボラアンテナで通信したりと、無線にはたくさん関わってきたのですが、まぁほら、そのへんの設定は業者がやってくれるから…。
プログラマーであるぼくが無線設定を触ることはあんまりなかったんですよね…。そんなこと覚えてる余裕あったらコードのひとつでも書け的な空気もありましたしw
そもそもWPAってなんだよ
それでせっかくなので調べてみたのですが、WPAは Wi-Fi Protected Accessの頭文字をとった略称で、Wi-Fi Allianceという業界団体で策定されている無線LANの暗号化方式のことなのだそうです。
実は1999年~2004年まではWPAは策定されておらず、人によってはなつかしの、あるいは黒歴史の、WEP (Wired Equivalent Privacy) が暗号化方式の標準でした。
しかし、WEPはわずか1分足らずでパスワードが解析される非常に脆弱でダメダメな暗号化方式だとわかり、新しい暗号化方式の策定が求められていました。
ところが、国際標準であるIEEEが802.11i(無線LANの暗号化規格)をなかなか決めてくれず、痺れを切らしたWi-Fi Allianceが(フライング気味に)2003年頃にWPAを策定し、TKIP (Temporal Key Integrity Protocol) という暗号化技術が用いられることになったようです。
これがいわゆるWPA-TKIPなのですが、暗号化アルゴリズムはWEPと同じRC4が使われています。
つまり、「暗号化方式:WEP 暗号化アルゴリズム:RC4」から「暗号化方式:TKIP 暗号化アルゴリズム:RC4」となったわけですね。
その後、国際標準であるIEEE 802.11iが正式に策定されたことにより、これを元にしたWPA2が登場します。
このWPA2ではAES (Advanced Encryption Standard) という米国政府でも採用されている堅牢な暗号化アルゴリズムを使えるのが大きな特徴です。
WPA2-AESを使っておけば良いよね
結論から言ってしまうとそのとおり。
この無線LANルーターの設定画面のように「WPA2(AES)」と「Mixed」なんて選べてしまうから混乱するというのもあると思います。(モノによってはWPA2 TKIP/AESみたいな表記だったり)
ぼくのようにふわっとした気持ちで設定していると、よくわからんけど両方対応している「Mixed」がええやろ…と考えて設定しちゃいそうです。
更にはクライアント側、つまりスマホでも携帯ゲーム機でも何でも良いですが、そっちではプルダウンメニューとかで「WEP」「WPA-TKIP」「WPA-AES」みたいな選択肢が出てきたりして。
WEPがダメなのはわかってるけど、TKIPとAESはどっち選べばいいの? 最初に出てきたTKIPのほうがオススメってことだよね、くらいの気持ちで選んでしまいそう。(というか実際TKIPを選ぶことが多かったです)
特に上のような設定画面では暗号化方式に「WPA-PSK」とか書いてあるから余計に混乱します。え?WPA2じゃなくてWPAにしか対応してないってことなの?とか。
そういうわけじゃないんですよね。WPA-PSKは別の言い方でWPAパーソナルとも呼称されるのですが、PSK=Pre-Shared Key=事前共有キーを使うモード、というだけの意味です。
は?事前共有キーってなんぞって思うかもですが、SSIDと一緒にパスフレーズ(暗号キー)設定するじゃないですか、アレですアレ。
それを機器によってWPA-PSK、WPA-Personal、WPA2-PSKとか色んな呼び方するからややこしい。これは認証方式の話であって暗号化アルゴリズムはまた別の話なのです。
だから、WPA-PSKでパスフレーズを設定し、暗号化方式はAESを使ってね、というのが上の設定例。
まぁ、いまどきはWPSやAOSSで自動設定する人のほうが多いのかな?
でもWPSの脆弱性をついた攻撃とかもあるようなので、どうにもぼくは自動設定を使う気にはなれず、いつもWPS機能はオフにしています。
まとめ
ざっくり言うと(無線LANルーターで設定する)セキュリティ設定には以下の4種類があります。
- 暗号化なし
- WEP
- WPA-TKIP
- WPA2-AES
暗号化なしは言うに及ばず、WEPも2004年にはWi-Fi Allianceよって削除された方式なので選んではいけません。
TKIPについてはWEPよりはマシなものの、将来的に削除されることが決まっていて、あくまで後方互換のために用意されているものなので、特別な理由がない限りはこちらも採用しなくてよろし。
ということで、無線の暗号化方式ではWPA2のAESを選びましょうね、というお話でした。