WiFi: WEP と TKIP セキュリティは段階的に廃止されるらしい。

先日、ウチのブログでも紹介しましたが、AppleのAirMac ExtremeなどのIEEE802.11nをサポートするアクセスポイントのファームウェアVersion 7.5.2がリリースされ、その変更内容に気になる事がありましたので調べてみました。

その気になる変更内容はこちら。

Disables TKIP security with 802.11n rates per the Wi-Fi Alliance specifications

この文章からはWi-Fiアライアンス(Wi-Fiロゴの認定を行っている団体)の仕様に基づき、802.11nの特定のレートにおけるTKIPセキュリティ設定を無効にしたと読み取れます。

調べてみるとAppleが2010年12月14日に最終更新している「iOS：Wi-Fi ルーターおよび Wi-Fi アクセスポイントの推奨設定」に関する記述のセキュリティについて、以下の様に記載されています。

注意：セキュリティ上の深刻な弱点のため、WEP および WPA TKIP 暗号化方式は推奨されていません。使用しないことを強くお勧めします。このモードは WPA2 AES に対応しておらず、WPA2 AES に対応するようにアップグレードできない、古いタイプの Wi-Fi デバイスをサポートする必要がある場合にのみ使用してください。これらの推奨されない暗号化方式を使用するデバイスでは、802.11n のパフォーマンスやそのほかの機能を最大限に活用できません。こうした問題が原因で、Wi-Fi Alliance は Wi-Fi 業界に WEP および WPA TKIP を段階的に廃止するように指導しています。

この最後の文に示されている通り、Wi-Fi AllianceがWEPとWAP TKIPを段階的に廃止する予定の様です。残念ながら、Wi-Fi Allianceのページを探してみたのですがその詳細を得る事は出来ませんでした。が、海外のサイトをいくつか探していたところ、次の様な事が分かりました。

• 802.11n で WEPやWPA(TKIP) セキュリティ設定を使用する場合の最高転送速度を、IEEE802.11n規格は54Mbpsと定めている。よって、WPA2(AES)を用いない場合、802.11nの論理上の最高速度を得る事は出来ない。
• 2011年から2013年末までに段階的にWEPやWPA(TKIP)によるセキュリティを廃止し、徐々にWPA2(AES)へ移行する。

前者については、Appleのサポートページにも記載されており、またWi-Fi Allianceのページで説明されているいずれのセキュリティに関する記事を読んでもWPA2(AES)を推奨する旨が記載されています。ただし、後者についてはWi-Fi Allianceが公開している文書ではないのでどれほど正確か分かりませんが、特に容易に破られてしまうWEPセキュリティを今後排除する動きがあってもおかしくありません。Wi-Fiが普及する為にはユーザーが安心して使えるデバイスが容易に手に入る必要があり、その事を判別できる様にするために機器を認定してWi-Fiロゴ表示を認めている訳ですから。

ウチが見つけた記事では次の様なフェーズでWEPやTKIPの廃止が進む様です。

• 2011年から、TKIPのみ(WPA-PSK, WPA-TKIPまたはWPA Personal)をサポートするアクセスポイントは認定されなくなる。TKIPとAESの両方に対応している機器は認定される。
• さらに2011年から、メーカーはWi-Fi機器の工場出荷時にWPA2のセキュリティをデフォルトで施す事が出来る様になる。現在はWi-Fi認定を受けているアクセスポイントについては、セキュリティ設定無しをデフォルトとし、ユーザーがセキュリティの設定をしなければならない。
• 2012年、Wi-FiアダプターのTKIPが許可されなくなる(新たに認定される機器?)。
• 2013年、Wi-FiアクセスポイントからWEPが禁止される。WEPしか対応していない古いデバイスが稼働している為(例えば一部のゲーム機などはWEPしか対応していないので…)、少し遅い様に感じるが2013年となっている。
• 2014年、Wi-Fi認定のアクセスポイント機器のセキュリティ設定としてTKIPとAESの混在が認められなくなる。また、WEPの新しいクライアント機器への実装もされなくなる。

現状販売されているIEEE802.11n対応のアクセスポイントのほとんどはWPA2 (AES)に対応しているので、十分なセキュリティが確保できると思われますが、WEPやWPA(TKIP)のみのセキュリティ設定でネットワークを構築している場合は設定内容を見直した方が良いかもしれませんね。一部のアクセスポイントはWPA2(AES)に対応していない場合もあるので、Wi-Fi AllianceによるWEP/TKIPの廃止の様に機器の入れ替えなども良いかもしれません。

ちなみに、このBlogを運用しているサーバーが設置されているウチの実家のアクセスポイントも最近までWPA2 (AES)非対応のものでしたが、先日AES対応のNEC社製ルーターへ買い替えました。

参考リンク:

• ファームウェアアップデート: AirMac Base Station & Time Capsule, Version 7.5.2 (Logon Blog)
• iOS：Wi-Fi ルーターおよび Wi-Fi アクセスポイントの推奨設定 (Apple)
• AirMac：古い WEP または WPA セキュリティメカニズムを使って接続したときの 802.11n 接続の速度が遅い (Apple)
• Say Goodbye to WEP and TKIP (海外のWebサイト。参考)
• 実家のルーターを交換 (Logon Blog)