WPA2-Enterprise、またはWi-Fiネットワークセキュリティへの適切なアプローチです。 WPAとWPA2の違い

ワイヤレスネットワークの普及に伴い、WPAおよびWPA2暗号化プロトコルは、Wi-Fiに接続するデバイスのほぼすべての所有者に知られるようになりました。 それらは接続のプロパティで指定されており、接続されていないほとんどのユーザーの注意が システム管理者最小を引き付ける。 WPA2はWPAの進化の産物であるという十分な情報があるため、WPA2は最新であり、最新のネットワークに適しています。

定義

WPA  - 旧式で安全でないWEPプロトコルの代わりに2003年にWi-Fi Allianceによって開発されたIEEE 802.11無線ネットワークを保護するために設計された暗号化プロトコル。

WPA2WPAの改良された開発である暗号化プロトコルは、Wi-Fi Allianceによって2004年に発表されました。

比較

WPAとWPA2の違いの検索は、ほとんどのユーザーにとっては関連性がありません。なぜなら、すべての保護 無線ネットワーク  多かれ少なかれ複雑なアクセスパスワードを選択することになります。 今日では、Wi-Fiネットワーク上で動作するすべてのデバイスがWPA2をサポートする必要があるため、WPAの選択は非標準的な状況によるものです。 例えば オペレーティングシステム  Windows XP SP3より古いバージョンでは、パッチを適用せずにWPA2での作業をサポートしていないため、このようなシステムで管理されているマシンやデバイスにはネットワーク管理者の注意が必要です。 現代のスマートフォンでさえ、新しい暗号化プロトコルをサポートしていないかもしれませんが、主に非ブランドのアジアの小売業者に関係しています。 一方、いくつかの windowsのバージョン  XPより古いとは、GPOのレベルでWPA2を使用することをサポートしていないため、この場合、ネットワーク接続をより細かく調整する必要があります。

WPAとWPA2の技術的な違いは、暗号化技術、特に使用されるプロトコルです。 WPAはTKIPを使用し、WPA2はAESプロトコルを使用します。 実際には、これは、より現代的なWPA2が高度なネットワークセキュリティを提供することを意味します。 たとえば、TKIPプロトコルを使用すると、最大128ビットのAES（最大256ビット）の認証キーを作成できます。

結論サイト

1. WPA2は、改良されたWPAです。
2. WPA2はAESプロトコルを使用し、WPAはTKIPプロトコルを使用します。
3. WPA2は、すべての最新のワイヤレスデバイスでサポートされています。
4. WPA2は、従来のオペレーティングシステムではサポートされていない可能性があります。
5. WPA2はWPAよりも安全です。

ハロー 親愛なる読者。 弱いルータのセキュリティシステムは、ネットワークを危険にさらします。 私たちは皆、ルータのセキュリティがどれほど重要であるかを知っていますが、ほとんどの人は、一部のセキュリティ設定がネットワーク全体の速度を低下させる可能性があることに気付きません。

ルータを通過するデータを暗号化するための主なオプションは、プロトコル WPA2-AES  と WPA2-TKIP。 今日、あなたはそれぞれのことについて話し合い、なぜAESを選ぶべきかを説明します。

WPAをご覧ください

WPAまたはWi-Fi Protected Accessは、WEPプロトコルに豊富に存在するセキュリティ脆弱性に対するアライアンスの対応でした。 それは完全な解決策として意図されていないことに注意することが重要です。 むしろ、WEPに頼らずに既存のルータを使用することを可能にする一時的な選択となっているはずです.WEPにはセキュリティの欠陥が顕著です。

WPAはWEPより優れていましたが、セキュリティ上の問題もありました。 攻撃は通常、256ビット暗号化を持つTKIPアルゴリズム（Temporal Key Integrity Protocol）を突破することはできませんでしたが、このプロトコルに組み込まれている追加のシステムをバイパスして、 WPS  または 保護された Wi-Fiインストール .

Wi-Fi Protected Setupは、お互いのデバイスの接続を容易にするように設計されています。 しかし、それがリリースされた数多くのセキュリティ侵害のために、WPSはWPAを使って忘却に陥り始めました。

現時点では、WPAとWEPの両方は使用されていませんので、詳しくはWPA2という新しいバージョンのプロトコルを検討します。

WPA2はなぜ優れていますか？

2006年にWPAは廃止され、WPA2に置き換えられました。

TKIP暗号化を新しく安全なAES（Advanced Encryption Standard）アルゴリズムに置き換えることで、Wi-Fiネットワークがより迅速かつ安全に保護されました。 その理由は、TKIPは完全なアルゴリズムではなく、むしろ一時的な選択肢であったからです。 簡単に言えば、WPA-TKIPプロトコルは、WPA-TKIPの登場からWPA2-AESのリリースまでの3年間のネットワークの可用性を確保する中間的な選択肢でした。

実際、AESは実際の暗号化アルゴリズムであり、 wi-Fi保護 ネットワーク。 かつては一般的なプログラムであるTrueCryptや他の多くの人々が、データを保護するために、政府によって使用された深刻なグローバルスタンダードです。 この標準があなたのホームネットワークを保護するという事実は素晴らしいボーナスですが、これには新しいルータを購入する必要があります。

AESとTKIPのセキュリティ

TKIPは基本的にWEPパッチです。 問題ソルバー  このため、攻撃者は、ルータを通過した比較的少量のトラフィックを調べた後に鍵を取得することができます。 TKIPは、新しい鍵を数分ごとにリリースすることでこの脆弱性を修正しました。理論的には、アルゴリズムが依存する鍵またはストリーミングRC4暗号を解読するのに十分なデータをハッカーが収集することはできません。

一度にTKIPはセキュリティが大幅に向上しましたが、今日では、もはやハッカーからネットワークを保護するのに十分安全であるとは考えられなくなった時代遅れのテクノロジになります。 たとえば、暗号化方法自体が登場する前に、チョップチョップ攻撃として知られている唯一の脆弱性ではなく、その脆弱性が公開されました。

チョップチョップ攻撃は、ネットワークによって生成されたストリーミングデータを傍受して分析する方法を知っているハッカーを使用して、それらを使用して鍵を解読し、コード化されていないテキストの形式で情報を表示します。

AESは、TKIPの機能をはるかに上回る完全に異なる暗号化アルゴリズムです。 このアルゴリズムは、TKIPが持つ脆弱性に悩まされていない128,192または256ビットのブロック暗号です。

アルゴリズムが単純な言語で説明されている場合は、平文を取り込んで暗号化されたテキストに変換します。 キーを持たない外部観察者の場合、そのようなテキストはランダムな文字列のように見えます。 トランスミッションの相手側の装置または人には、データのロックを解除または解読するキーがあります。 この場合、ルーターは最初のキーを持ち、送信前にデータを暗号化します。コンピューターには情報を復号化する2番目のキーがあり、これを画面に表示することができます。

暗号化レベル（128,192または256ビット）によって、データに適用される順列の数が決まります。したがって、クラックするために入力すると、可能な組み合わせの数が決まります。

コンピュータの現在のコンピューティングパワーがこのアルゴリズムに適したソリューションを見つけるのに1000億年かかるため、AES暗号化（128ビット）の最も弱いレベルでさえ、理論的には解読することは不可能です。

スピードの面でAES対TKIP

TKIPは古くなっている暗号化方法であり、セキュリティ上の問題の他に、それを使用しているシステムの速度も低下します。

ほとんどの新しいルータ（すべての標準802.11n以上）はデフォルトでWPA2-AES暗号化を使用しますが、古いルータを使用したり何らかの理由でWPA-TKIP暗号化を選択した場合、速度の重要な部分を失う可能性が高くなります。

セキュリティ設定でWPAまたはTKIPが有効になっている場合、802.11n標準をサポートするルータ（ACルータを購入する必要がありますが）は54Mbpsに低下します。 これは、セキュリティプロトコルが古いデバイスで正しく機能することを保証するために行われます。

WPA2-AES暗号化を使用する802.11ac規格は、理論的に最適な（読み取り不可能な）状態で最大速度3.46Gbpsを提供します。 しかし、これを考慮しなくても、WPA2とAESはTKIPよりずっと高速です。

結果

AESとTKIPは全く比較できません。 AESは、あらゆる意味で、より高度な技術です。 ルータの高速化、セキュリティで保護されたブラウジング、および大手国の政府でさえも、新しいWi-Fiネットワークと既存のWi-Fiネットワークのすべての唯一の正しい選択肢に頼るアルゴリズム。

AESが提供していることを考えれば、このアルゴリズムの使用を中止する理由がありますか？ ホームネットワーク？ そしてなぜそれを適用する（または適用しない）のですか？

この記事で受け取ることができる情報は、ネットワークへの不正アクセスを取得するために使用することができ、あなたの行動は、ロシア連邦刑法第272-273条に該当する可能性があります。 この情報は情報提供のみを目的としてここに掲載されており、違法な目的で使用する責任はお客様に限らせていただきます。 この記事では、MGUPIユーザーグループミーティング「ワイヤレスネットワークの保護（WPA2）」で奉献されたトピックに焦点を当てます。

はじめに

前回の記事では、ワイヤレスネットワークの一般原則とそのセキュリティを保証することについて話しました。 ワイヤレスネットワークの種類、セキュリティの一般原則、およびWEP暗号化を使用してネットワークにアクセスすることがどれほど簡単かの例について説明しました。
   この記事では、WPAがどのように機能し、どのような主な脆弱性が攻撃者によってあなたのネットワークを改ざんするために使用されるのかを説明します。

WEPと比較したWPAの利点

WPA、WiFi Protected Access - 不正なアクセスからワイヤレスネットワークを保護するための最新の、最新の最新のメカニズム。 WPA、およびそのさらなる開発WPA2は、その時代になって廃止されたWEPメカニズムを置き換えるようになりました。 もう一度、WEPの原則を考えてみましょう。

データフレームは、暗号化された部分と暗号化されていない部分とからなる。 暗号化された部分にはデータとチェックサム（CRC32）が含まれ、暗号化されていない部分には初期化ベクトルとキー識別子が含まれます。

2.各データフレームは、暗号化キーとしてWEPキーを持つ初期化ベクトルを使用して、ストリームRC4暗号で暗号化されます。

したがって、各データフレームについて、それ自身の暗号化キーが生成されるが、同時に、各新しい暗号化キーは、初期化ベクトルによってのみ異なる。 （キーの長さが40または104ビットの場合、24ビット）したがって、攻撃者が多数のパケットを傍受すると、彼は次のものを受け取ります： - 多数の初期化ベクトル
   - 大量の暗号化データ
   - 各後続フレームの暗号化キーは、前のものと4ビット（初期化ベクトルの長さ）だけ異なり、
   したがって、パッケージに対する数学的演算を実行することによってキーを抽出することが可能である。
   成功するために wEPキー攻撃者は次のものが必要です。
   - ネットワーク信号を受信する可能性のある場所にあること（RSSI -85dBmで十分です）
   - キーの長さ（WEP-40またはWEP-104）に応じて、約100〜200,000個の初期化ベクトルをキャプチャします。 通常、このためには、ネットワークで送信されるトラフィックを25〜50 MB傍受する必要があります。 高いネットワークアクティビティ（ビデオ会議のファイル（特にピアツーピアネットワークを使用）をダウンロードする）がある場合、必要なトラフィック量をキャプチャするには5〜10分で十分です。

また、攻撃者がどのようにトラフィックをキャプチャするか注意してください。
   通常、ワイヤレスネットワークアダプタは通常モードで動作します。MACアドレスに送信されるパケットは、ワイヤレスネットワークに接続されている場合にのみ受け入れます。 しかし、物理的には何も無線に干渉しません ネットワークアダプター  選択したチャネルの範囲内にあるすべてのパケットをキャプチャします。 この可能性を実現するために、特別な非公式の運転手と ソフトウェア。 さらに、このようなソフトウェアは合法的に販売され、無線ネットワークを監視するために使用されます。 このようなプログラムの一例はTamoSoftのWiFi用CommViewです。 次に、攻撃者はキャプチャされたトラフィックを分析します。 WEPは何年も前にハッキングされていたので、CAPファイルから自動的にキーを抽出するインターネット上のユーティリティを見つけることができます。最も一般的なのはAircrackです。
   したがって、WEPには次のような欠点があります
   - フレームの暗号化キーの予測可能性
   - ネットワーク認証ツールの欠如
   データ整合性のチェック機構を弱める
   したがって、多くの企業は、企業情報の漏洩を防ぐために、一般的に無線ネットワークの使用を拒否していました。 しかし、WPAとそれ以降のWPA2の登場により、状況は変わり、企業ユーザーはますますWPAを使い始めました。 実際、WEPと比較して、いくつかの利点があります。
   - 各パケットの暗号鍵の数学的独立
   - 新しいチェックサムカウントメカニズム
   -WPAには、802.1Xプロトコル認証が含まれています。

WPAの動作原理

最初のWPAの変更は高度なWEPでした。
   最初のプロトコルWPA、WPA-TKIPのいずれかを検討してください
   これは48ビットの初期化ベクトルを使用し、ベクトル構成ルールが変更され、メッセージ整合性コードMICがチェックサムを計算するために使用されます。このチェックサムは、古くて信頼性の低いCRC32
   そして最も重要な改善点は、暗号化キーの長さが40ではなく128ビットになったことです。各フレームの暗号化キーの予測を防ぐために設計されたキー管理用の特別な階層があります。 TKIPのおかげで、各データフレームの暗号化キーは、部分的であっても互いに繰り返されないように生成されます。
   したがって、WPAネットワークは、CRC32チェックサムチェックをバイパスすることが可能であったWEPについては言及できなかったリプレイ攻撃（キー繰り返し）と偽造（パケット内容のなりすまし）から完全に保護され、まったく同じ暗号キー 、前のように。
同時に、認証メカニズムがWPA：EAPに統合され、802.1X認証規格の完全サポートも行われました。 EAP - 最も一般的な認証プロトコルの1つである拡張認証プロトコル。 有線ネットワークでの認証に使用されるため、WPA無線ネットワークは既存のインフラストラクチャに容易に統合されます。 認証の前提条件は、アクセストークンをユーザーが提示してネットワークにアクセスする権利を確認することです。 トークンを取得するには、特別なデータベースに対する要求があり、認証がなければ、ユーザーのネットワーク操作は禁止されます。 検証システムは特別なRADIUSサーバーにあり、Active Directoryはデータベースとして使用されます（Windowsシステムの場合）
   したがって、WPAは以下のテクノロジと標準の統合です。
   WPA = 802.1X + EAP + TKIP + MIC
   しかし、TKIP保護は2008年に部分的にクラックされました。 彼女のバイパスを成功させるためには、 無線ルーター  QoSが使用されました。 攻撃者は、ネットワーク上で送信されたデータだけでなく、ネットワーク上で送信された偽のパケットを傍受して解読することができます。 したがって、高度なWPAであるWPA2メカニズムが開発されました。

WPA2のしくみ

WPAの脆弱性を発見した結果、WPA2セキュリティメソッドが作成されました。 WPAとの本質的な違いは、ネットワーク上のトラフィックは、このネットワークに接続されていないデバイスだけでなく、相互に暗号化されていることです。 つまり、各デバイスには、アクセスポイントとのデータ交換用の独自の暗号化キーがあります。 ネットワークにはいくつかの暗号化キーがあります：
   1）ペアワイズ・トランジェント・キー（PTK）。 このタイプの鍵では、各クライアントの個人トラフィックは暗号化されます。 したがって、ネットワーク内で許可された1つのクライアントが別のクライアントを傍受することができないように、「内部から」ネットワークを保護することが保証される。
   2）グループ一時キー（GTK）。 このキーは、ブロードキャストデータを暗号化します。
   WPA2はCCMP暗号化アルゴリズムとして使用されます

CCMP（暗号化ブロック連鎖メッセージ認証コードプロトコルを使用するカウンタモード）、メッセージ認証コードによるブロック暗号化プロトコル、およびブロックおよびカウンタ結合モードは、データ暗号化の基礎としてAESアルゴリズムを使用するWPA2ネットワークの暗号化プロトコルです。 FIPS-197標準によれば、128ビット暗号化キーが使用される。
TKIPおよびWEPとの主な違いは、AESレベルで実行される集中パケット整合性管理です。
   パケット暗号化CCMPの構造

CCMPパケットは16オクテットだけ増加します。 CCMPヘッダーは、PN（パケット番号、48ビット）、ExtIV（初期化ベクトル）、およびキー識別子の3つの部分で構成されています。
   CCMPを使用したデータカプセル化：
   1）重複したパケットを避けるために、パケット番号をいくつか増分します。
   2）追加の認証データが作成されます。
   3）ノンス・サービス・フィールドが作成されます。
   4）パッケージ番号とキー識別子がパッケージヘッダに配置されます。
   5）ノンスフィールドと追加認証データは、一時キーを使用して暗号化されます。



   CCMPを使用したデータデカプセリング：
   1）付加的な識別データフィールド及びノンスフィールドは、パケットデータを用いて生成される。
   2）暗号化されたパケットのヘッダから付加的な識別データのフィールドを抽出する
   3）A2フィールド、パケット番号および優先順位フィールドが検索される。
   4）MICフィールドの取得
   5）パケットは復号化され、パケットの暗号文、追加の識別データ、一時的な鍵およびMIC自体を使用してその完全性が検査される
   6）パッケージが復号化された形でアセンブルされている。
   7）重複番号のパケットは破棄されます。

ネットワーク上のこの暗号化方法は現在、最も信頼性が高いです。

WPA \\ WPA2の認証方法

認証、つまりユーザーがリソースにアクセスする権利を確認することは、WPA \\ WPA2の前提条件です
   これを行うために、従来のWAP \\ WPA2実装には802.11とEAPのサポートが含まれています。
   換言すれば、クライアント装置が接続プロセスを正常に完了するためには、それ自身を識別することが必要である。 実際には、次のようになります。ユーザーは、ネットワークにアクセスするためのログインとパスワードの入力を求められます。 資格情報の検証はRADIUSサーバー上で実行され、RADIUSサーバーは認証サーバーと通信します。 Windows Server 2008 R2ドメインコントローラは認証サーバーとして使用され、RADIUSサーバーとしても使用されます。
   WPA \\ WPA2を実装するこのアプローチは、WPA-Enterpriseと呼ばれています。 これは、Active Directoryインフラストラクチャが既に展開されている大規模な運用ネットワークで使用されます。
しかし、中小企業や家庭内でのActive DirectoryとRADIUSの展開はほとんど不可能であることは明らかです。 したがって、自宅でWPA / WPA2標準を使用するために、WPA-PSK（事前共有鍵）と呼ばれる簡単な実装がWi-Fi Allianceによって開発されました。 同じ暗号化プロトコルを使用しますが、その中のユーザー認証方式は大幅に簡素化されています。 デバイスがネットワークアクセストークンを受信するには、事前共有鍵と呼ばれる特別なパスフレーズをデバイスに入力する必要があります。 長さは8〜32文字にする必要があります。さらに、特殊文字や国別アルファベットの記号を使用することもできます。 パスフレーズを入力すると、アクセスポイントに送信される特別な関連パッケージ（キー交換パッケージ、ハンドシェイク）にパスフレーズが挿入されます。 パスフレーズが正しい場合、デバイスにネットワークアクセストークンが与えられます。 このアプローチはWPA-Enterpriseよりもはるかに簡単であり、中小企業や家庭ユーザーに広く利用されています。

WPA \\ WPA2の脆弱性

WPA \\ WPA2には脆弱性がないわけではありません。
   まず、2006年にWPAはTKIP暗号化を暗号化しました。 このエクスプロイトでは、アクセスポイントからクライアントマシンに送信されたデータを読み取るだけでなく、偽の情報をクライアントマシンに送信することができます。 この攻撃を実装するには、ネットワーク上でQoSを使用する必要があります。
   したがって、WPAを使用してワイヤレスネットワークを保護することも推奨しません。 もちろん、WEPよりもクラッキングするのは難しく、WPAはAircrackを使って児童の攻撃からあなたを守りますが、あなたの組織に対する標的型攻撃に対抗しません。 私はWPA2を使用することをお勧めします
   ただし、WPA2には脆弱性がありません。 2008年には、man-in-the-center攻撃を可能にする脆弱性が発見されました。 これにより、ネットワークメンバーは、Pairwise Transient Keyを使用して他のネットワークメンバー間で送信されたデータをインターセプトして解読することができました。 したがって、このようなネットワークで作業する場合は、送信された情報を暗号化するための追加手段を使用することが理にかなっています（Shipka PCDSTDなど）同時に、この脆弱性を悪用するには、攻撃者がネットワークにアクセスする必要があります。
しかし、WPA-PSKの「ホーム」実装に焦点を当てたいと思います。 このキーを入力すると、MACフィルタリングが関与していない場合、デバイスにネットワークへの完全なアクセスが与えられるため、許可スキームが簡素化されます。その中の「ボトルネック」は事前共有キーそのものです。
   キー自体はアクセスポイントに保存されます。 デバイスのモデルおよびファームウェアに応じて、保護のための方法が実装されます。 場合によっては、攻撃者がWebコントロールパネルにアクセスして、事前共有キーを取得すれば十分です。事前共有キーは、そこにクリアテキストで格納されています。 場合によっては、フィールドがパスワード付きのフィールドとして保護されている場合もありますが、攻撃者がメモリチップをデバイスから取り出して低レベルでアクセスできる場合は、引き続きその情報を取得することができます。 したがって、ワイヤレス機器の物理的なセキュリティに注意してください。
   最後に、最新の脆弱性は、デバイスがネットワークに接続されているときに事前共有キーが送信されるハンドシェイクパケットを傍受する機能です。 Pre-Sharedキーがどれだけ暗号化されているかに応じて、攻撃者は1つの可能性しか残されません。捕捉されたアソシエーションパケットに対してブルートフォース攻撃が行われます。 一方で、これは非合理ですが、アクセスポイントの近くにいる必要はなく、無差別な攻撃（または辞書）による攻撃の場合、攻撃者は大きなコンピューティングリソースを使用できます。
   ハンドシェイクを傍受するために、攻撃者は新しいデバイスがネットワークに接続された瞬間を待つ必要はないことにも留意する必要があります。 いくつか ワイヤレスアダプタ非標準ドライバを使用する場合、ネットワーク接続を中断し、クライアントとアクセスポイント間のネットワークで新しい鍵交換を開始する再割り当てパケットをネットワークに送信することができます。 この場合、必要なパケットをキャプチャするためには、少なくとも1つのクライアントがネットワークに接続されている必要があります。 また、攻撃者はアクセスポイントの近くにいる必要があるため、アダプタの電源（通常はそのようなアダプタは低感度で低電力で強く過熱して操作中は強く過熱します）がSEND再関連付けパッケージで十分です（WEPを覚えておいてください。 ）。 そして最終的にはブルートフォースによる攻撃には長い時間がかかりますが、コンピューティングクラスタを使用するとタスクが大幅に簡素化されます。

結論

この記事では、WPA \\ WPA2の仕組みと主な脆弱性について説明しました。
   したがって、自宅でWPA \\ WPA2を保護するには、長くて複雑な（辞書以外の）パスワードを使用し、特殊文字、好ましくは印刷できないASCII文字を使用します。 しかし、この場合、多くの モバイルデバイス  このデバイスからパスワードを入力できない場合は制限されます。
   職場では、特にActive Directoryネットワークがすでに導入されている場合は、常にWPA-Enterpriseを使用してください。 これにより、ほとんどの攻撃からネットワークが保護されます。 しかし、インフラストラクチャを保護するための他の手段についても忘れないでください。
   このシリーズの次の記事では、脆弱なパスワードを使用して攻撃者がWPA2-PSKネットワークにアクセスする方法と、サービス拒否攻撃を使用してWPAネットワークを一時的に無効にする方法の例を示します。

プロトコル WPA2  2004年に作成されたIEEE 802.11i規格で定義されています。 実装されています CCMP  暗号化 AES何のために WPA2  前任者よりも安全になりました。 2006年以降、サポート WPA2  認定されたすべてのデバイスの必須アイテムです。

WPAとWPA2の違い

ワイヤレスネットワークのすべての保護は多かれ少なかれ複雑なアクセスパスワードを選択することになるため、WPA2とほとんどのユーザーの間の違いの検索は関係ありません。 今日では、Wi-Fiネットワーク上で動作するすべてのデバイスがWPA2をサポートする必要があるため、WPAの選択は非標準的な状況によるものです。 たとえば、Windows XP SP3より古いオペレーティングシステムでは、パッチを適用せずにWPA2での作業をサポートしていないため、このようなシステムで管理されているマシンやデバイスにはネットワーク管理者の注意が必要です。 現代のスマートフォンでさえ、新しい暗号化プロトコルをサポートしていないかもしれませんが、主に非ブランドのアジアの小売業者に関係しています。 一方、XPより古いWindowsの一部のバージョンでは、GPOレベルでのWPA2の使用がサポートされていないため、この場合、ネットワーク接続をより細かく調整する必要があります。

WPAとWPA2の技術的な違いは、暗号化技術、特に使用されるプロトコルです。 WPAはTKIPプロトコルを使用し、WPA2はAESプロトコルを使用します。 実際には、これは、より現代的なWPA2が高度なネットワークセキュリティを提供することを意味します。 たとえば、TKIPプロトコルを使用すると、最大128ビットのAES（最大256ビット）の認証キーを作成できます。

WPA2とWPAの違いは次のとおりです。

• WPA2は、改良されたWPAです。
• WPA2はAESプロトコルを使用し、WPAはTKIPプロトコルを使用します。
• WPA2は、すべての最新のワイヤレスデバイスでサポートされています。
• WPA2は、従来のオペレーティングシステムではサポートされていない可能性があります。
• WPA2はWPAよりも安全です。

WPA2認証

WPAとWPA2は両方とも2つの認証モードで動作します。 個人的  と エンタープライズ。 WPA2-Personalモードでは、プレーンテキストによって入力されたパスフレーズから256ビットのキーが生成されます。これは、あらかじめ共有されたキーと呼ばれることもあります。 PSK鍵は、後者の識別子および長さとともに、主対鍵の形成のための数学的基礎を形成する PMK（ペアワイズマスターキー）4ウェイハンドシェイクを初期化し、一時的なペアまたはセッションキーを生成するために使用されます PTK（ペアワイズ・トランジェント・キー）無線ユーザ装置がアクセスポイントと通信するために使用される。 スタティックと同様に、WPA2-Personalプロトコルは、主要なディストリビューションおよびサポートの問題を抱えており、小規模オフィスでの使用に適しています。

しかし、WPA2-Enterpriseプロトコルは、静的な鍵の配布と管理に関連する問題を首尾よく解決し、ほとんどの企業認証サービスとの統合により、ユーザーアカウントに基づくアクセス制御が提供されます。 このモードで作業するには、ユーザー名とパスワード、セキュリティ証明書またはワンタイムパスワードなどの登録データが必要です。 ワークステーションと中央認証サーバとの間で認証が行われる。 アクセスポイントまたはワイヤレスコントローラが接続を監視し、適切な認証サーバに認証パケットを送信します。 WPA2-Enterpriseモードのベースは、有線スイッチと無線アクセスポイントの両方に適したポートとポートベースのユーザー認証とマシン認証をサポートする802.1X標準です。

WPA2暗号化

WPA2標準は、DESおよび3DES標準を事実上の業界標準として置き換えたAES暗号化方式に基づいています。 大量の計算を必要とするAES標準では、古いWLAN機器では必ずしも利用可能ではないハードウェアサポートが必要です。

認証とデータの完全性のために、WPA2はCBC-MACプロトコル（暗号ブロック連鎖メッセージ認証コード）を使用し、カウンタモード（CTR）はデータとMICチェックサムを暗号化するために使用されます。 WPA2プロトコルのメッセージ完全性コード（MIC）は、チェックサムに過ぎず、WPAと異なり、不変の802.11ヘッダーフィールドにデータの整合性を提供します。 これにより、パケットを復号化したり、暗号化情報を侵害したりするために、パケット再生攻撃が防止されます。

MICを計算するために128ビットの初期化ベクトル（初期化ベクトル - IV）が使用され、暗号化IVにはAESメソッドと一時キーが使用され、結果は128ビットの結果になります。 さらに、この結果と次の128データビットとの排他的論理和演算が実行される。 結果はAESとTKを使用して暗号化され、最後の結果と次の128ビットのデータに対してXOR演算が再度実行されます。 この手順は、ペイロード全体が使い尽くされるまで繰り返される。 最後のステップで得られた結果の最初の64ビットは、MIC値を計算するために使用されます。

カウンタモードに基づくアルゴリズムは、データおよびMICを暗号化するために使用される。 MIC初期ベクトルの暗号化と同様に、このアルゴリズムの実行は、データ長に対応する値の代わりにカウンタフィールドに1に設定されたカウンタ値が取られる128ビットカウンタのプリロードから始まります。 したがって、別個のカウンタが各パケットを暗号化するために使用される。

AESとTKを使用すると、データの最初の128ビットが暗号化され、次に128ビットでこの暗号化の結果が排他的論理和演算になります。 データの最初の128ビットは、最初の128ビット暗号化ブロックを与えます。 プリロードされたカウンタ値は、インクリメンタルにインクリメントされ、AESおよびデータ暗号化キーで暗号化されます。 そして、この暗号化の結果と次の128ビットのデータに対して、XOR演算を再度行う。

すべての128ビットデータブロックが暗号化されるまで、この手順が繰り返されます。 その後、カウンタフィールドの最終値はゼロにリセットされ、カウンタはAESアルゴリズムを使用して暗号化され、暗号化結果とMICに対してXOR演算が実行されます。 最後の操作の結果は、暗号化されたフレームにドッキングされます。

MICがCBC-MACプロトコルを使用して計算された後、データおよびMICは暗号化される。 次に、802.11ヘッダーとCCMPパケット番号フィールドがこの情報に追加され、802.11トレーラーがドッキングされ、すべてが宛先アドレスに送信されます。

データの復号化は、逆の順序の暗号化で実行されます。 カウンタを抽出するために、同じアルゴリズムがその暗号化のために使用される。 カウンタモードおよびTKキーに基づく解読アルゴリズムは、カウンタおよびペイロードの暗号化された部分を解読するために使用される。 このプロセスの結果は、復号化されたデータとMICチェックサムです。 その後、CBC-MACアルゴリズムを使用して、復号されたデータのMICが再計算されます。 MIC値が一致しない場合、パケットは廃棄されます。 指定された値が一致すると、復号化されたデータはネットワークスタックに送信され、クライアントに送信されます。