無線LAN標準のセキュリティ機構WEP(Wired Equivalent Privacy)に欠陥があることが2000年末以降,次々と明るみになった。しかも,WEPで利用されている暗号鍵を推測するアルゴリズムも公開されており,これを実装したソフトウェアも無償で配布されている。WEPを破られ,無線LANでの通信内容を盗み見られる危険は身近なものなのだ。

 ところが,無線LANネットワークで多くのユーザーが利用できるセキュリティ機構はWEPしかない。多くのケースでは脆弱と知りつつもWEPを使い続けるしかなかった。

 ここに来てこの状況が解消されるメドが立ってきた。2003年6月末以降,WEPを置き換える新セキュリティ標準「WPA(Wi-Fi Protected Access)」の製品化が始まったからだ。無線LAN機器の相互接続性を認定する非営利団体,Wi-Fi Allianceは2003年9月以降にWPAの実装を義務付ける方針である。WPAが無線LANセキュリティの主流になるのは間違いない。

 そこで今回,リンクシス・ジャパンの無線LANルーター「WRT54G」,無線LANカード「WPC54G」のファームウェア/ドライバをアップグレードし,実際にWPAを動作させ,その使い勝手を探ってみた。

暗号方式はTKIPとAES

図1●WPAで規定されている主な内容

 使い勝手の実際を報告する前に,WPAについて簡単に説明しておこう。WPAはWi-Fi AllianceがWEPの弱点を解消するために2003年4月から認証プログラムを開始したセキュリティの仕様である。

 WPAで定められている項目は,大きく二つある(図1[拡大表示])。一つはユーザーを認証し,端末に暗号化のための鍵を配布する仕組みである。もう一つは暗号方式。脆弱だったWEPではなく,別の新しい暗号方式を規定する。

 認証・鍵配布方式に関しては,ユーザーごとの認証/鍵配布が可能なプロトコル「IEEE802.1x」を企業向けの製品に義務付けた(無線LANカードはすべての製品で対応が必須)。ただし,802.1xを利用するためには,アクセスポイントの対応のほかに,ユーザーの管理情報を格納する認証サーバー(RADIUSサーバー)を用意する必要がある。これは数人しかいないような企業や家庭には負担が重い。そこで,家庭/SOHO向けとしてPre-Sharedというモードも用意した。こちらは,WEPのように端末,アクセスポイントにあらかじめ一つだけパスワードを登録しておき,同じパスワードをそのアクセスポイントと通信する端末が持つことで認証し,鍵を配布する方式である。

 暗号方式には,TKIP(Temporal Key Intigrity Protocol)を採用する。TKIPはWEPの改良版である。可能な限りWEPのアルゴリズムを使いながら,WEPで弱いと指摘された部分をつぶした暗号方式である。WEPのアルゴリズムを使うのは,既存のWEP対応製品をアップグレードするだけで,利用できるようにするためだ(多くの無線LANチップがWEPのアルゴリズムを処理する回路を実装している)。

 また,現在はWPAで定められていないが,AES(Advanced Encryption Standard)と呼ぶ新しい暗号方式も将来的にWPAに取り込まれる予定だ。こちらは従来のアルゴリズムが利用できず,処理の負荷も高いため,ハードウェア処理が望ましい。一部の無線LANチップではAESの回路が実装されているが,多くのチップは持っていない。Wi-Fi Allianceの計画では,2004年第4四半期頃からAESの実装を義務付ける予定である。同団体の文書によれば,将来的にはWEPやTKIPを廃し,AESに一本化する意向である。

端末側は設定ツールのUPも必要

 これらを踏まえた上でWPAの実装を見てみる。まず,そのための準備から。リンクシス・ジャパンのアクセスポイントは,同社のWebサイト(http://www.linksys.co.jp/)からファームウェアをダウンロードし,これを適用するだけでWPA対応になる。

図2●アクセスポイントの設定とアクセス時の端末に表示される画面
写真1●端末側でWPAの設定を明示的に設定する画面
図3●暗号方式によるスループットの違い
測定にはNetperf(http://www.netperf.org/)を使い,有線LANポートに接続したパソコンから無線LAN端末間にデータが流れた場合の速度を測定した。

 一方,無線LANカード側は,新しいドライバを組み込むだけでは,WPA対応にならない。暗号方式やパスワードを設定するユーティリティもアップデートする必要がある。

 リンクシスの場合,Windows 98/Me/2000などのOSに対しては,専用ユーティリティをアップデートしてWPAに対応する予定である(提供時期は未定)。一方,Windows XPの場合は,OS標準のユーティリティをWPAに対応させるアップデート・モジュールを米Microsoft社が提供しており,これを適用することで新しい暗号方式や認証方式に対応できるようになる(http://support.microsoft.com/?kbid=815485を参照)。

TKIPは3割減速,AESは低下なし

 ここまで準備した上で,アクセスポイントの管理画面(Webブラウザで表示する)を見てみると,これまで暗号方式としてWEPしか選択できなかったのが,TKIPやAESも選択できるようになった(図2左[拡大表示])。このうちAESは先に述べたようにWPAには含まれていないが「リンクシスが採用する米Broadcom社製の無線LANチップにはAESの処理回路が搭載されており,今回からこれを利用可能にした」(リンクシス・ジャパン プロダクトマーケティング部の山田泰志マネージャー)という。また,認証・鍵配布の選択肢タブが新設され,Pre-Sharedや802.1xが選択できるようになった。

 例えば,このアクセスポイントの設定画面で認証・鍵配布方式としてPre-Shared(画面上ではWPA-PSK),暗号化方式としてTKIPを選んでみる。これに対して端末から初めてアクセスすると,図2右[拡大表示]のような画面が現れる。ここに,アクセスポイント側に設定したShared Key(ネットワーク・キー)を入力すると無線LANが利用可能になる。以後はこの認証情報がパソコンに保持され,Shared Keyを入力しなくても保持した情報を基に自動で接続するようになる。暗号方式をAESに変えても,動作は同じだった。

 写真1[拡大表示]のように端末側であらかじめ暗号方式や認証方式を設定しておくこともできる。ここで設定した内容とアクセスポイントの設定と異なる場合は,認証に失敗する。ただし,その後,図2右の画面を開き,正しいキーを入力すれば,接続される。以後は,最後に接続に成功した設定が残る。

 また,WEPと比較して,TKIPやAESを使ったときの実効速度がどの程度になるのかも調べてみた。図3[拡大表示]がその結果である。TKIPが30%程度低下した以外は,暗号化しなかった場合と比べてほとんど変わらなかった。TKIP利用時に速度が落ちたのは,WEPとAESが専用回路でほとんどすべてを処理できるのに対し,TKIPはソフトウェアで多くの処理を実行するためと見られる。

(中道 理)