暗号化モードはCCMP(AES)のみにせよ - 家庭用Wi-Fiルータの設定について考えてみた⑤
ホーム Wi-Fiルータの設定に関する、5回目の記事となります。
自宅の Wi-Fiルータについて、何気なくデフォルト設定でインターネットに接続していることが多い気がします。
でも、、、
本当にデフォルトのままで良いのか!?
と疑問に感じたので、ちょっと考えてみました。
ちょっと調べてみたところ、意外といくつもの考えるべき項目があることが分かってきました。
今回はWi-Fi接続における暗号化モードの設定についてです。
WEP(RC4)とかTKIP(RC4)とかCCMP(AES)とかのお話です。
ちなみに、我が家のWi-Fiルータの「暗号化モード」のデフォルト設定は
のとおりTKIP&AESでした。
【目的】
自宅のWi-Fiルーターに他人を接続させないこと
【手段】
下記設定を考え、最適な設定を考えてみる。
(ステルスにするかどうか)
3.PSK(PreSharedKey = 事前共有鍵)
4.認証モード
→5.暗号化モード
6.MACアドレスフィルタリング
7.Wi-Fiルーター自体のIPアドレス
8.管理画面(設定画面)のログインID・パスワード
【考えたこと】
デバイスが Wi-Fiルータと接続し通信するということは、
デバイスで入力した内容、例えばWebサイトログイン時に入力するID・PWとかが
空気中を流れることになります。
空気中を流れるということは、それを万が一誰かに傍受された場合、
中身を見られてしまうことになります。
見られてしまっては困るので、たとえ傍受されても解読不可能にさせるため、
通信内容を暗号化することが一般的です。
その「暗号化」を実現する方法として、
↓のようなプロトコル(通信規約)とアルゴリズム(考え方)があります。
暗号化プロトコル | 暗号化アルゴリズム | セキュリティレベル |
---|---|---|
CCMP | AES | ↑高 |
TKIP | RC4 | │ |
WEP | RC4 | ↓低 |
WEPは4回目の記事でも触れたとおり、
簡単にパスワードをクラック(解読)できてしまうのでNGです。
そして、暗号化キーが固定されたているため、
1度クラックされると通信がずっと筒抜けになってしまいます。
TKIPはWEPの改良版で、暗号化キー(グループキー※)を
一定時間で更新する仕組みであるため、
1度クラックされても、キーが更新されれば再度クラックされるまで内容を解読されません。
また、キー情報も拡張されているため、WEPよりも安全なのは間違いありません。
ですが、基本的な部分がWEPと同じであるため、不安要素が残ります。
CCMPは・・・、と書きたいところですが、
なぜかAESと呼ばれることが多いですね。
WEP、TKIPと同じ土俵ではCCMPと表現されるべきだと思いますが。。。
余談はさておき、CCMP(AES)は、
暗号化の処理方法を1から考えて組み直したものであり、
もちろん暗号化キー(グループキー※)も一定時間で更新する仕組みです。
今では最も暗号強度が高くデファクトであると言えます。
※ここで、この「一定時間」で更新するキーですが、
このキーは事前共有キーではなく「グループキー」です。
デバイスとWi-Fiルータが通信する仕組みをざっくり説明すると、
①デバイス側では入力されたWi-FiパスワードからPMK(マスターキー)を生成します。
②次に4ウェイハンドシェイクという手順で乱数とMACアドレスを交換し、
①で生成したPMKを組み合わせてPTK(テンポラリキー)を生成します。
③そしてこのPTKを用いてグループキーハンドシェイクという手順で
グループキー(GTK)を交換します。
このGTKこそが、通信データを暗号化するのに用いられる暗号キーとなります。
そんなもん知らねーよ!
と思われるかもしれませんが、たぶん嘘は言ってないと思います(笑)
ちなみにこの時間はWPAグループキー更新間隔設定で変更することができます。
この時間を短くすればするほどセキュリティは向上しますが、
Wi-Fiルータの負担も大きくなりそうです。
以上のことから、暗号化モードはCCMP(AES)に設定したいところではありますが、
世の中のデバイスにはTKIPには対応しているものの、CCMP(AES)には対応していないものもあります。
そーゆーデバイスも繋げるようにするため、Wi-Fiルータの暗号化モード設定のデフォルトも、
TKIP&AES
となっているものもあります。
実際、我が家のWi-Fiルータのデフォルトもそうでした。。。
そこで、我が家にあるデバイスはきっとすべてCCMP対応だろうとたかをくくった私は、
とりあえずWi-Fiルータの暗号化モードを
AESのみ
に変更してみました!
結果、全てのデバイスが接続状態を維持したため、このまま運用することにしました。
ということで、
暗号化モードはCCMP(AES)のみにする
ことをおすすめします。