Temporal Key Integrity Protocol
一般 | |
---|---|
設計者 | Wi-Fi Alliance |
初版発行日 | 2002年10月 |
派生元 | Wired Equivalent Privacy |
暗号詳細 | |
鍵長 | 128 bits |
最良の暗号解読法 | |
非推奨 |
Temporal Key Integrity Protocol、略称TKIP(ティーキップ)は、IEEE 802.11 無線ネットワーク規格で使われているセキュリティプロトコル。
背景
[編集]TKIPは、IEEE 802.11i タスクグループと Wi-Fi Alliance が既存ハードウェアを置換することなくWEPを代替する手法として設計した。これは、WEPのデータリンク層のセキュリティが脆弱であることが明らかになったためで、既に使われているハードウェアにも実装できる代替手段が求められていた。
2002年10月31日、Wi-Fi Alliance はTKIPをWi-Fi Protected Access (WPA) の名称で承認した[1]。IEEEは2004年7月23日に発表した IEEE 802.11i-2004 で、より頑健なIEEE 802.1XやAESベースのCCMPと共に最終版のTKIPを承認した[2]。Wi-Fi Alliance は間もなく完全な仕様を採用し、WPA2 の名前で普及推進するようになった[3]。
TKIPは設計時の寿命に到達しつつあり、次回の802.11規格の全面改版時には外される可能性がある[4]。
技術的詳細
[編集]TKIPおよび関連するWPA規格では、WEPで発生したセキュリティ問題への対策として3つのセキュリティ強化が実装されている。まずTKIPでは、秘密ルート鍵と初期化ベクトルを関数で混合してからRC4の初期化を行う。一方WEPでは、ルート鍵と初期化ベクトルを単に連結してRC4ルーチンに渡している。このため関連鍵攻撃に弱い[5]。第二にWPAではシーケンスカウンタを実装し、リプレイ攻撃に対する防御を施している。アクセスポイントは順序外で受信したパケットを捨てる。最後に、TKIPにはMICHAELと呼ばれる64ビットメッセージ完全性チェックが実装されている[6]。
既存のWEPハードウェアを少しアップグレードしただけで利用できるようにするため、TKIPはWEPと同じRC4を採用している。また、TKIPでは鍵再発行機構も提供している。TKIPではパケット毎にユニークな鍵を使っている。
鍵混合により、1つの鍵で暗号化されるデータ量が実質的に少なくなり、攻撃者が鍵を復号するための計算量を増大させている。また、WPAで実装しているメッセージ完全性チェック MICHAEL は、偽造パケットが受け入れられるのを防ぐ。WEPでは、暗号解読されていなくても、内容のわかっているパケットを修正することが可能だった。
セキュリティ
[編集]TKIPはキーストリーム復元攻撃に対して脆弱である。この攻撃が成功すると、攻撃者は自分で選んだ7つから15個のパケットをそのネットワーク上で送信できる。現在知られているTKIP固有の攻撃法ではPMK (Pairwise Master Key) やPTK (Pairwise Temporal Key) を明らかにできない。2008年11月8日、Martin Beck と Erik Tews はその攻撃方法の詳細を論文で発表した[7]。
その攻撃法はWEPへの攻撃法を拡張したものである。WEPは暗号的にセキュアでないチェックサム機構(CRC32)を使っていたため、攻撃者はパケット内の各バイトを推測でき、アクセスポイントに問い合わせることでその推測が当たっていたかどうかがわかる。推測が正しければ、パケット内の他のバイトも推測できるようになる。しかし、WEPへの攻撃とは異なり、攻撃者は推測が当たっていたことが判明した場合に最低でも60秒間待たないと攻撃を続行できない。これは、TKIPもCRC32を使っているが、同時に(上述した)MICHAELというメッセージ完全性チェックを実装しているためである。60秒間にMICHAELが不正と判断するパケットを2回受信すると、アクセスポイントは対抗手段としてセッション鍵の再発行を行い、キーストリームを変更する。したがって Beck-Tews のTKIP攻撃法では、そのような対抗手段を起動させないために一定の待ち時間を必要とする。ARPパケットはサイズが特徴的ですぐにそれとわかるし、そのおおよその内容も攻撃者には推測がつくため、上述したような方法で攻撃者が推測しなければならないバイト数は思ったより少ない(約14バイト)。Beck と Tews は、典型的なネットワークでは12分で12バイトの推測が可能だと試算している。
以上のようにして、攻撃者は暗号化されたパケット全体にアクセスできる。同じパケットの平文全体を検索すると、攻撃者は即座にパケットのキーストリームにアクセスでき、そのセッションでのMICHAELのコードにもアクセスできる。これらの情報を使えば、攻撃者は新たなパケットを作ってそのネットワーク上に送信することができる。WPAで実装しているリプレイ対策を出し抜くため、Beck-Tews の攻撃法はQoSチャネルを使って偽造パケットを送信する。この攻撃に成功すると、ARPスプーフィング攻撃、DoS攻撃などの様々な攻撃が可能となる。
関連項目
[編集]脚注
[編集]- ^ “Wi-Fi Alliance Announces Standards-Based Security Solution to Replace WEP”. Wi-Fi Alliance (2002年10月31日). 2007年12月21日閲覧。
- ^ “IEEE 802.11i-2004: Amendment 6: Medium Access Control (MAC) Security Enhancements” (pdf). IEEE Standards (2004年7月23日). 2007年12月21日閲覧。
- ^ “Wi-Fi Alliance Introduces Next Generation of Wi-Fi Security”. Wi-Fi Alliance (2004年9月1日). 2007年12月21日閲覧。
- ^ “802.11mb Issues List v12” (excel). p. CID 98 (20 Jan 2009). 2009年6月17日閲覧。 “The use of TKIP is deprecated. The TKIP algorithm is unsuitable for the purposes of this standard”
- ^ Edney, Jon; Arbaugh, William A. (2003-07-15). Real 802.11 Security: Wi-Fi Protected Access and 802.11i. Addison Wesley Professional. ISBN 0-321-13620-9
- ^ IEEE-SA Standards Board. Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. Communications Magazine, IEEE, 2007.
- ^ Martin Beck & Erik Tews, "Practical attacks against WEP and WPA", available at [1].