Temporal Key Integrity Protocol

TKIP：無線LANセキュリティにおける過渡期技術

TKIP（Temporal Key Integrity Protocol）は、IEEE 802.11無線ネットワークにおけるセキュリティプロトコルとして、Wired Equivalent Privacy（WEP）の脆弱性を克服するために開発されました。WEPの深刻なセキュリティ欠陥が明らかになったことを受け、既存のハードウェアを交換することなくWEPに代わる解決策として登場したのです。

TKIPの誕生と進化

IEEE 802.11iタスクグループとWi-Fi Allianceは共同で、WEPの後継となるセキュリティプロトコルの開発に取り組みました。その結果生まれたのがTKIPです。2002年10月31日、Wi-Fi AllianceはTKIPをWi-Fi Protected Access（WPA）として承認。その後、IEEEは2004年7月23日にIEEE 802.11i-2004規格において、より堅牢なIEEE 802.1XおよびAESベースのCCMPと共にTKIPを正式に承認しました。Wi-Fi Allianceはその後、WPA2としてTKIPを含む規格の普及に努めました。しかし、TKIPは設計上の寿命に近づいており、将来の802.11規格改訂では廃止される可能性があります。

TKIPの技術的詳細とWEPからの改良点

TKIPはWEPが抱えていたセキュリティ問題に対処するため、以下の3つの強化策を導入しています。

1. 鍵の混合: WEPでは、秘密鍵と初期化ベクトルを単純に連結してRC4暗号化に用いていましたが、TKIPでは、両者を関数で混合してからRC4の初期化を行うことで、関連鍵攻撃への耐性を向上させています。
2. シーケンスカウンタ: WPAではシーケンスカウンタを導入することで、リプレイ攻撃（過去の通信データの再送による攻撃）を防いでいます。アクセスポイントは、シーケンス番号が不正なパケットを廃棄します。
3. メッセージ完全性チェック (MICHAEL): TKIPは64ビットのメッセージ完全性チェック機構であるMICHAELを実装することで、パケットの改ざんを検出します。WEPでは、暗号化されていてもパケットの内容を改竄できる脆弱性がありましたが、MICHAELによってこの問題が改善されました。

TKIPは既存のWEPハードウェアとの互換性を維持するため、WEPと同じRC4暗号化アルゴリズムを採用し、鍵再発行機構も備えています。パケットごとにユニークな鍵を使用することで、攻撃者が鍵を解読するための計算量を増大させる工夫も施されています。

TKIPのセキュリティ上の脆弱性

TKIPは、キーストリーム復元攻撃に対して脆弱であることが知られています。Martin BeckとErik Tewsによって発表された攻撃手法では、攻撃者は特定の手法を用いることで、ネットワーク上のパケットを操作できる可能性が示されました。この攻撃では、PMK（Pairwise Master Key）やPTK（Pairwise Temporal Key）を直接明らかにすることはできませんが、選択したパケットを送信できるという脆弱性が存在します。

この攻撃方法は、WEPに対する攻撃手法を拡張したものです。WEPは脆弱なチェックサム機構（CRC32）を使用していたため、攻撃者はパケット内のバイトを推測し、アクセスポイントからの応答で推測の正誤を確認することで、鍵を解読できる可能性がありました。TKIPもCRC32を使用していますが、MICHAELによるメッセージ完全性チェックが追加されているため、WEP攻撃に比べて攻撃の成功には時間がかかります。攻撃者は推測が間違っていた場合、アクセスポイントによるセッション鍵の再発行を回避するために一定時間待つ必要があり、攻撃速度が制限されます。

しかし、ARPパケットなど、サイズや内容が予測可能なパケットを標的にすることで、攻撃者は比較的少ない試行回数で鍵を推測できる可能性があります。攻撃が成功すると、ARPスプーフィング攻撃やDoS攻撃などの様々な攻撃が可能になります。

まとめ

TKIPはWEPの脆弱性を改善するために開発されたプロトコルでしたが、新たな攻撃手法の発見により、完全な解決策とは言えなくなりました。現在では、より安全なCCMPが推奨されており、TKIPは段階的に廃止される方向にあります。

もう一度検索