WPA3( Wi-Fi Protected Access 3 )とは
WPA( Wi-Fi Protected Access )は、Wi-Fiアライアンスの監督下の認証プログラムでありWPA、WPA2、WPA3の3種類があります。また、WPA、WPA2、WPA3という用語は Wi-Fi ネットワークで使用されるセキュリティプロトコルをそのものを指している場合もあります。
WPA2は現在広く使用されていますが、2017年10月16日にWPA2にKRACKsと呼ばれる深刻な脆弱性があると発表されました。WPA2では接続時に「 4-way handshake 」の手順を使用していますが、そのネゴシエーション過程で、攻撃者が中間者攻撃が可能な危険性が発見されました。この中間者攻撃により、暗号化通信の盗聴や意図しないコンテンツ挿入が行われ無線通信が乗っ取りされる恐れがあります。
WPA3は、WPA2で発見された脆弱性への対策に加え、時代に合わせた実装になっています。WPA3は完全な新しいセキュリティプロトコルというわけではなくて、WPA2のセキュリティ拡張として提供されます。大きく次の4つのセキュリティ機能でデータ保護が強化されます。
・ WPA3 特徴その1:SAEと呼ばれる新しいハンドシェイクの手順を用意
・ WPA3 特徴その2:総当たり攻撃や辞書攻撃からの保護
・ WPA3 特徴その3:オープンネットワークでの通信の秘匿性を確保する仕組み
・ WPA3 特徴その4:WPA3-Enterpriseで192ビット暗号化を採用
現時点での情報として、2019年度にはWPA3に対応する無線LANルータ、アクセスポイント、クライアントデバイスなどが順次各メーカーから提供される見込みです。また、WPA3はWPA2との移行モードによって、既存のWPA2対応デバイスとの相互接続性を維持します。
現在、無線LAN機器が「Wi-Fi CERTIFIED認定」を受けるためにはWPA2を実装している必要がありますが、将来的にはWPA2に代わりWPA3対応が必須要件となります。
WPA3の特徴 1:SAEと呼ばれる新しいハンドシェイクの手順
WPA3では、KRACKへの対策を施すSAE(Simultaneous Authentication of Equals)という新しいハンドシェイクの手順を実装しました。これにより、従来の4-way handshakeの前にSAEハンドシェイクを行なわせることでKRACKを無効化します。
WPA3の特徴 2:総当たり攻撃や辞書攻撃からの保護
一定回数のログイン失敗時にブロックする機能です。これは、すでに一般的に使用されている機能ですが、WPA3では同様の機能をWi-Fiでも使用できるようにすることにより、辞書攻撃や総当たり攻撃などの手当り次第のログイン試行の危険性を防ぐものです。
※ 総当たり攻撃は「Brute-force attack(ブルートフォースアタック)」とも呼ばれます。
この攻撃保護に対してもSAEが行使されています。
◆ Wi-Fi Alliance introduces Wi-Fi CERTIFIED WPA3 security
WPA3-Personal: more resilient, password-based authentication even when users choose passwords that fall short of typical complexity recommendations. WPA3 leverages Simultaneous Authentication of Equals (SAE), a secure key establishment protocol between devices, to provide stronger protections for users against password guessing attempts by third parties.
WPA3の特徴 3:オープンネットワークでの通信の秘匿性を確保
WPA3では、パスワード認証がないような公共Wi-Fiにおいて、通信の秘匿性を確保する仕組みが実装されています。WPA3では、OWE(Opportunistic Wireless Encryption)をサポートすることで、確立されている複数の暗号化メカニズムを統合して提供し、ユーザごとの暗号化を一意に行い、ユーザデバイスとWi-Fiネットワーク間でやり取りするデータを保護します。
WPA3の特徴 4:WPA3-Enterpriseで192ビット暗号化を採用
WPA3には、WPA3-PersonalとWPA3-Enterpriseがあります。WPA3-Enterpriseにおいて、暗号化強度を128ビットから192ビットに引き上げることで、セキュリティが強化されます。なお、WPA3-Personalは個人・家庭向け、または小規模な企業ネットワーク向けであるのに対して、WPA3-Enterpriseは企業・組織向けとして使用することを推奨するモードです。
◆ WPA3-Personal
パスワードベースの認証を提供します。辞書攻撃などの不正な認証試行をSAEの仕組みで緩和します。また、認証パスワードが漏えいしたとしても通信内容はOWEにより保護することで、第三者の盗み見の危険性を低減します。
◆ WPA3-Enterprise
暗号アルゴリズム強度を128ビットから192ビットに強化します。192ビットのセキュリティによる一貫性ある保護の提供と統合管理が可能です。この192ビットのCNSA(Commercial National Security Algorithm)の暗号化アルゴリズムは、WPA2のAESよりも高強度の暗号化を実現するアルゴリズムです。なお、認証にはIEEE802.1X認証サーバと連携します。
Wi-Fi Easy Connectの提供:IoTデバイスの簡単接続
Wi-Fiアライアンスは、WPA3の発表と同時に「Wi-Fi Easy Connect」についてもアナウンスしました。ディスプレイのないIoT端末の無線LAN設定を、PCやスマホなどのディスプレイのある別の端末から簡単に設定できる仕組みです。
Wi-Fi Alliance is also introducing Wi-Fi CERTIFIED Easy Connect, a new program that reduces the complexity of onboarding Wi-Fi devices with limited or no display interface – such as devices coming to market for Internet of Things (IoT) – while still maintaining high security standards.
Wi-Fi Easy Connect enables users to securely add any device to a Wi-Fi network using another device with a more robust interface, such as a smartphone, by simply scanning a product quick response (QR) code. Wi-Fi Easy Connect and WPA3 represent the latest evolution in Wi-Fi Alliance programs to ensure users receive a positive experience while remaining securely connected as the security landscape evolves.
Wi-Fi Easy ConnectではQRコードを利用したWi-Fi接続も紹介されておりこれは画期的です。
