PR

WEPの解読方法を知る!

2009年2月16日(月)
森井 昌克

FMS攻撃

 2001年にFluhrerらは特定のパターンのIVが使われた場合にキーストリームとIV、および秘密鍵の間に強い相関が生じることを示した。さらに、その相関を用いた鍵復元攻撃を提案し、その攻撃はFMS攻撃と呼ばれている。

 具体的には、パケットごとに変わるIVを用いた、WEPのセッション鍵128ビットをK[0]||k[1]||...||k[15]とするバイト配列の連結とする。24ビットのIVはk[0]||k[1]||k[2]となる。104ビットのWEP鍵はK[3]||k[4]||...||k[15]となる。

 このとき、以下を満たすIVを利用して、任意のWEP鍵でキーストリームを生成したとき、観測したキーストリームの先頭にWEP鍵の情報が大きく漏れることになり、この情報を用いることで鍵の全数探索に比べて著しく少ない計算量で鍵を求めることができる。

3 k[1]=255

 上記を満たすパケットは0.02%もあることから、これらのパケットを集めることによって、短い時間で鍵を推定することができる。十分な量のパケットさえ収集できれば、通常のパソコンで数秒もかからず104ビット鍵を推定することが可能となる。FMS攻撃に対する十分な量のパケットは、数百万パケットになる。IVがたかだか24ビットであることから、約1,600万個のIVの値しか取れないことによる。このFMS攻撃の考え方は、airsnortなどのWEP攻撃ツールに取り込まれている。

選択IV攻撃

 FMS攻撃におけるIVの条件式が改良され、ほかの多くのIVも鍵の情報を漏えいさせることが明らかになり、攻撃法が洗練されたものに改良された。これを選択IV攻撃と呼ぶ。これらの考え方は、WEP解析ツールaircrack-ngなどに導入され、必要なパケット数は1/10程度になった。

 しかしそれでも数十万パケットが必要であり、短時間で鍵を導出するためには、高速にパケットを収集する必要がある。したがって、短いパケットを連続して高速に生成する特殊な環境を想定する必要があり、実際の環境で数十万パケットを短時間で収集することは困難であった。

 FMS攻撃やその拡張である選択IV攻撃では、特定のIVの性質を利用していることから、そのIVを排除、すなわち利用しないことによって、それらの攻撃方法に耐性を持たせることが可能である。

 FMS攻撃に対しては、24ビットのIV全体の中でたかだか0.02%であったことから、そのIVを排除するWEPplusという方式が提案、一部実装されている。この方式を実装することによってFMS攻撃は無力となる。その後、FMS攻撃の考え方を拡張した選択IV攻撃も存在し、やはりFMS攻撃と同様、それら特定のIVを利用したキーストリームを収集することによって、容易に容易に鍵を推定するすることができる。しかし、そのIVも排除することによって、攻撃を無効にすることが可能である。

神戸大学大学院
1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。現在、神戸大学大学院工学研究科教授。インターネット、符号理論、ネットワークセキュリティー、暗号理論等の研究/教育/開発に従事。著書に「新しい暗号技術とその情報セキュリティへの応用」、「食の安全性徹底検証」、「インターネットプロトコルハンドブック」など。http://srv.prof-morii.net/~morii/

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています