ホーム Wi-Fiルータの設定に関する、５回目の記事となります。

自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、

本当にデフォルトのままで良いのか！？

と疑問に感じたので、ちょっと考えてみました。

ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。

今回はWi-Fi接続における暗号化モードの設定についてです。
WEP(RC4)とかTKIP(RC4)とかCCMP(AES)とかのお話です。
ちなみに、我が家のWi-Fiルータの「暗号化モード」のデフォルト設定は

のとおりTKIP&AESでした。

【目的】

自宅のWi-Fiルーターに他人を接続させないこと

【手段】

下記設定を考え、最適な設定を考えてみる。

１．SSID名
２．SSIDブロードキャスト

(ステルスにするかどうか)

３．PSK（PreSharedKey = 事前共有鍵）

４．認証モード

→５．暗号化モード

６．MACアドレスフィルタリング
７．Wi-Fiルーター自体のIPアドレス
８．管理画面（設定画面）のログインID・パスワード

デバイスが Wi-Fiルータと接続し通信するということは、
デバイスで入力した内容、例えばWebサイトログイン時に入力するID・PWとかが
空気中を流れることになります。

空気中を流れるということは、それを万が一誰かに傍受された場合、
中身を見られてしまうことになります。
見られてしまっては困るので、たとえ傍受されても解読不可能にさせるため、
通信内容を暗号化することが一般的です。

その「暗号化」を実現する方法として、
↓のようなプロトコル（通信規約）とアルゴリズム（考え方）があります。

WEPは４回目の記事でも触れたとおり、
簡単にパスワードをクラック（解読）できてしまうのでNGです。
そして、暗号化キーが固定されたているため、
１度クラックされると通信がずっと筒抜けになってしまいます。


TKIPはWEPの改良版で、暗号化キー（グループキー※）を
一定時間で更新する仕組みであるため、
１度クラックされても、キーが更新されれば再度クラックされるまで内容を解読されません。
また、キー情報も拡張されているため、WEPよりも安全なのは間違いありません。
ですが、基本的な部分がWEPと同じであるため、不安要素が残ります。

CCMPは・・・、と書きたいところですが、
なぜかAESと呼ばれることが多いですね。
WEP、TKIPと同じ土俵ではCCMPと表現されるべきだと思いますが。。。

余談はさておき、CCMP（AES）は、
暗号化の処理方法を１から考えて組み直したものであり、
もちろん暗号化キー（グループキー※）も一定時間で更新する仕組みです。
今では最も暗号強度が高くデファクトであると言えます。

※ここで、この「一定時間」で更新するキーですが、

このキーは事前共有キーではなく「グループキー」です。
デバイスとWi-Fiルータが通信する仕組みをざっくり説明すると、
①デバイス側では入力されたWi-FiパスワードからPMK（マスターキー）を生成します。
②次に４ウェイハンドシェイクという手順で乱数とMACアドレスを交換し、
　①で生成したPMKを組み合わせてPTK（テンポラリキー）を生成します。
③そしてこのPTKを用いてグループキーハンドシェイクという手順で
　グループキー（GTK）を交換します。
　このGTKこそが、通信データを暗号化するのに用いられる暗号キーとなります。
　
そんなもん知らねーよ！
と思われるかもしれませんが、たぶん嘘は言ってないと思います（笑）
ちなみにこの時間はWPAグループキー更新間隔設定で変更することができます。

この時間を短くすればするほどセキュリティは向上しますが、
Wi-Fiルータの負担も大きくなりそうです。

以上のことから、暗号化モードはCCMP（AES）に設定したいところではありますが、
世の中のデバイスにはTKIPには対応しているものの、CCMP（AES）には対応していないものもあります。
そーゆーデバイスも繋げるようにするため、Wi-Fiルータの暗号化モード設定のデフォルトも、

TKIP&AES

となっているものもあります。
実際、我が家のWi-Fiルータのデフォルトもそうでした。。。

そこで、我が家にあるデバイスはきっとすべてCCMP対応だろうとたかをくくった私は、
とりあえずWi-Fiルータの暗号化モードを

AESのみ

に変更してみました！

結果、全てのデバイスが接続状態を維持したため、このまま運用することにしました。

暗号化モードはCCMP（AES）のみにする