助け合いフォーラム
CCNA(200-301)
問題ID : 8449
問題を開く
WPA3で実装された認証方式はどれか。
正解
SAE
解説
無線LANでは、接続機器の認証や通信の暗号化機能が「WPA」や「WPA2」や「WPA3」といった規格で提供されています。
【WPAパーソナルと WPAエンタープライズ】
WPAは利用する認証方式によって「WPAパーソナル」または「WPAエンタープライズ」と呼ばれます。
WPAパーソナルは認証サーバを使用しないモードです。PSK(Pre-Shared Key:事前共有鍵)認証または、SAE(Simultaneous Authentication of Equals:同等性同時認証)を利用している場合は「WPAパーソナル」と呼ばれます。(WPAパーソナル、WPA2パーソナルの場合はPSKを使用。WPA3パーソナルの場合はSAEを使用)
WPAエンタープライズは認証サーバを使用するモードです。IEEE 802.1X/EAP認証を利用している場合は「WPAエンタープライズ」と呼ばれます。
よって正解は
・SAE
です。
その他の選択肢については、以下の通りです。
・PSK
・IEEE 802.1X/EAP
WPA3より前に実装されているものなので、誤りです。
・RC4
・AES
WPA3より前に実装されている暗号化アルゴリズムなので、誤りです。
【WPAパーソナルと WPAエンタープライズ】
WPAは利用する認証方式によって「WPAパーソナル」または「WPAエンタープライズ」と呼ばれます。
WPAパーソナルは認証サーバを使用しないモードです。PSK(Pre-Shared Key:事前共有鍵)認証または、SAE(Simultaneous Authentication of Equals:同等性同時認証)を利用している場合は「WPAパーソナル」と呼ばれます。(WPAパーソナル、WPA2パーソナルの場合はPSKを使用。WPA3パーソナルの場合はSAEを使用)
WPAエンタープライズは認証サーバを使用するモードです。IEEE 802.1X/EAP認証を利用している場合は「WPAエンタープライズ」と呼ばれます。
よって正解は
・SAE
です。
その他の選択肢については、以下の通りです。
・PSK
・IEEE 802.1X/EAP
WPA3より前に実装されているものなので、誤りです。
・RC4
・AES
WPA3より前に実装されている暗号化アルゴリズムなので、誤りです。
参考
【無線LANで使われる主なセキュリティ規格】
【WPAパーソナルと WPAエンタープライズ】
WPAは利用する認証方式によって「WPAパーソナル」または「WPAエンタープライズ」と呼ばれます。
WPAパーソナルは認証サーバを使用しないモードです。PSK(Pre-Shared Key:事前共有鍵)認証または、SAE(Simultaneous Authentication of Equals:同等性同時認証)を利用している場合は「WPAパーソナル」と呼ばれます。(WPAパーソナル、WPA2パーソナルの場合はPSKを使用。WPA3パーソナルの場合はSAEを使用)
WPAエンタープライズは認証サーバを使用するモードです。IEEE 802.1X/EAP認証を利用している場合は「WPAエンタープライズ」と呼ばれます。
【WPA3の3つのモードと暗号化アルゴリズム】
WPA3には、WPA3パーソナル、WPA3エンタープライズ、WPA3エンタープライズ192bitモードの3つのモードがあります。
WPA3が使用する暗号化アルゴリズム「AES」では、暗号化に必要となる暗号鍵として128bit、192bit、256bitのいずれかの鍵長を用いることができます。
WPA3パーソナル、WPA3エンタープライズでは、128bitのAES暗号鍵を使用するAES-128(CCMP)の実装が最小要件とされています。
WPA3エンタープライズ192bitモードは、通常のWPA3パーソナルやエンタープライズよりもセキュリティが強化されており、AES-256(GCMP)などの複数のセキュリティ要件の実装が必須となっています。このモードは、WPA3エンタープライズのオプションとして選択できます。
※WPA3エンタープライズ192bitモードという名称は、単純にAESの鍵長を指しているのではなく、モードのセキュリティ強度を表しているため、AES暗号鍵の鍵長が256bit(AES-256)でも192bitモードと呼ばれています。
【IEEE 802.1X】
IEEE 802.1Xは、LANに接続するユーザーを認証するための規格です。
セキュリティ対策としてユーザ認証を行うことで不適切なユーザーがLANに接続することを防ぎます。
【IEEE 802.1Xの構成要素】
【EAP】(Extensible Authentication Protocol:拡張認証プロトコル)
EAPは、IEEE 802.1Xで採用されている認証用のプロトコルです。
EAPの拡張性を生かして、いろいろなEAPベースの認証方式が追加されています
[EAPの主な認証方式]
【WPA 4-Way Handshake】
WPA/WPA2では、PSK認証またはEAP認証で生成した鍵を基に4-Way Handshakeを行い、定期的に変更できる鍵を生成し、セキュリティレベルを高めています。
※上記のように無線LANコントローラを使用している場合は、アクセスポイントではなく無線LANコントローラがオーセンティケータの役割を持ちます。
1.EAP認証によって、サプリカントと認証サーバがPMK(Pairwise Master Key:WPAで使用される鍵の基になる鍵)を生成
2.認証サーバがオーセンティケータにPMKを配布
3.オーセンティケータが ANonce(Authenticator Nonce:オーセンティケータが生成する乱数)などを送信
4.サプリカントは PMKや SNonce(Supplicant Nonce:サプリカントが生成する乱数)と、受け取った ANonceなどから PTK(Pairwise Transient Key:ユニキャスト通信で使用する鍵)を生成
5.サプリカントが SNonceを送信
6.オーセンティケータは PMKや ANonceと、受け取った SNonceなどから PTKを生成
7.オーセンティケータが GTK(Group Transient Key:マルチキャストやブロードキャスト通信で使用する鍵)を配布
8.サプリカントがGTKを受け取ったことを伝える
【WPA3の特徴】
WPA3には下記の特徴があります。
・認証方式にSAEを使用
・前方秘匿性
・PMFの必須化
・ログイン攻撃(総当たり攻撃や辞書攻撃)防止機能
【SAE】
SAE(Simultaneous Authentication of Equals:同等性同時認証)はWPA3で用いられる認証方式です。WPA3では下図のように、4-Way Handshakeの前にSAE Handshakeを行い、通信ごとの新しいPMKを生成します。PMKを元にして、4-Way HandshakeによりPTKやGTKが生成されます。PTKおよびGTKはデータの暗号化に使用される鍵です。
【SAEによるセキュリティ強化】
PSK認証ではパスワード(事前共有鍵)を元にしてPMKが生成されるのに対して、SAEではパスワードと乱数を元にして、通信ごとにランダムなPMKが生成されます。そのためWPA3は前方秘匿性(Forward secrecy)を持ちます。前方秘匿性とは、過去に暗号化されたデータが後に判明したパスワードによって解読されないという特性です。盗聴などにより攻撃者に入手されていた暗号化データが後から解読されることを防ぎます。
【PMF】
PMF(Protected Management Frame)は管理フレームを保護する機能です。管理フレームへの盗聴、改ざん、「なりすまし」を防ぎます。WPA2でオプションだったPMFがWPA3では必須になりました。
【WPAパーソナルと WPAエンタープライズ】
WPAは利用する認証方式によって「WPAパーソナル」または「WPAエンタープライズ」と呼ばれます。
WPAパーソナルは認証サーバを使用しないモードです。PSK(Pre-Shared Key:事前共有鍵)認証または、SAE(Simultaneous Authentication of Equals:同等性同時認証)を利用している場合は「WPAパーソナル」と呼ばれます。(WPAパーソナル、WPA2パーソナルの場合はPSKを使用。WPA3パーソナルの場合はSAEを使用)
WPAエンタープライズは認証サーバを使用するモードです。IEEE 802.1X/EAP認証を利用している場合は「WPAエンタープライズ」と呼ばれます。
【WPA3の3つのモードと暗号化アルゴリズム】
WPA3には、WPA3パーソナル、WPA3エンタープライズ、WPA3エンタープライズ192bitモードの3つのモードがあります。
WPA3が使用する暗号化アルゴリズム「AES」では、暗号化に必要となる暗号鍵として128bit、192bit、256bitのいずれかの鍵長を用いることができます。
WPA3パーソナル、WPA3エンタープライズでは、128bitのAES暗号鍵を使用するAES-128(CCMP)の実装が最小要件とされています。
WPA3エンタープライズ192bitモードは、通常のWPA3パーソナルやエンタープライズよりもセキュリティが強化されており、AES-256(GCMP)などの複数のセキュリティ要件の実装が必須となっています。このモードは、WPA3エンタープライズのオプションとして選択できます。
※WPA3エンタープライズ192bitモードという名称は、単純にAESの鍵長を指しているのではなく、モードのセキュリティ強度を表しているため、AES暗号鍵の鍵長が256bit(AES-256)でも192bitモードと呼ばれています。
【IEEE 802.1X】
IEEE 802.1Xは、LANに接続するユーザーを認証するための規格です。
セキュリティ対策としてユーザ認証を行うことで不適切なユーザーがLANに接続することを防ぎます。
【IEEE 802.1Xの構成要素】
【EAP】(Extensible Authentication Protocol:拡張認証プロトコル)
EAPは、IEEE 802.1Xで採用されている認証用のプロトコルです。
EAPの拡張性を生かして、いろいろなEAPベースの認証方式が追加されています
[EAPの主な認証方式]
【WPA 4-Way Handshake】
WPA/WPA2では、PSK認証またはEAP認証で生成した鍵を基に4-Way Handshakeを行い、定期的に変更できる鍵を生成し、セキュリティレベルを高めています。
※上記のように無線LANコントローラを使用している場合は、アクセスポイントではなく無線LANコントローラがオーセンティケータの役割を持ちます。
1.EAP認証によって、サプリカントと認証サーバがPMK(Pairwise Master Key:WPAで使用される鍵の基になる鍵)を生成
2.認証サーバがオーセンティケータにPMKを配布
3.オーセンティケータが ANonce(Authenticator Nonce:オーセンティケータが生成する乱数)などを送信
4.サプリカントは PMKや SNonce(Supplicant Nonce:サプリカントが生成する乱数)と、受け取った ANonceなどから PTK(Pairwise Transient Key:ユニキャスト通信で使用する鍵)を生成
5.サプリカントが SNonceを送信
6.オーセンティケータは PMKや ANonceと、受け取った SNonceなどから PTKを生成
7.オーセンティケータが GTK(Group Transient Key:マルチキャストやブロードキャスト通信で使用する鍵)を配布
8.サプリカントがGTKを受け取ったことを伝える
【WPA3の特徴】
WPA3には下記の特徴があります。
・認証方式にSAEを使用
・前方秘匿性
・PMFの必須化
・ログイン攻撃(総当たり攻撃や辞書攻撃)防止機能
【SAE】
SAE(Simultaneous Authentication of Equals:同等性同時認証)はWPA3で用いられる認証方式です。WPA3では下図のように、4-Way Handshakeの前にSAE Handshakeを行い、通信ごとの新しいPMKを生成します。PMKを元にして、4-Way HandshakeによりPTKやGTKが生成されます。PTKおよびGTKはデータの暗号化に使用される鍵です。
【SAEによるセキュリティ強化】
PSK認証ではパスワード(事前共有鍵)を元にしてPMKが生成されるのに対して、SAEではパスワードと乱数を元にして、通信ごとにランダムなPMKが生成されます。そのためWPA3は前方秘匿性(Forward secrecy)を持ちます。前方秘匿性とは、過去に暗号化されたデータが後に判明したパスワードによって解読されないという特性です。盗聴などにより攻撃者に入手されていた暗号化データが後から解読されることを防ぎます。
【PMF】
PMF(Protected Management Frame)は管理フレームを保護する機能です。管理フレームへの盗聴、改ざん、「なりすまし」を防ぎます。WPA2でオプションだったPMFがWPA3では必須になりました。
WPA3で実装された認証方式はどれか について
投稿日 2023/05/31
こちら、解答は暗記できるのですが、そもそも通信における暗号化方式と暗号化アルゴリズムの違いはなんでしょうか?
PSK,AES等単語は覚えられるのですがその中身まで差異も含めて覚えようとするとどうしても情報量が増え難解になる気がします。
どなたか概観をご教示いただけますと幸いです。よろしくお願いします。
2023/05/31 13:45
例えば、
セキュリティ規格「WPA3」は暗号化方式として「GCMP」を使用する
暗号化方式「GCMP」とは、暗号化アルゴリズムに「AES」を使用する暗号化方式である
というような位置づけです。
認証方式は、暗号化方式とはまた別の話で、セキュリティ規格ごとに異なる認証方式(WPA3ならSAEなど)が使われます。
コメント
この投稿に対して返信しませんか?