WPA2の脆弱性「KRACKs」についてまとめてみた | DevelopersIO

森永です。 今日起きたらセキュリティクラスタがWPA2の脆弱性でざわついてて焦りました。 先ほど詳細なレポートがでましたので内容をまとめます。 だいたい分かればいい人は概要だけ読んで下さい。 KRACK Attacks: Breaking WPA2 本ブログの内容について暗号の専門家による監修はありません。誤った表現や誤解を招く表現があればお申し付け下さい。 概要 報告者 ベルギーにあるルーヴェン・カトリック大学でネットワークや無線のセキュリティなどを研究している博士研究員であるMathy Vanhoef氏 内容 Wi-Fi Protected Access 2（WPA2）の脆弱性が見つかった（WPA1も対象） 攻撃手法の特徴から「Key Reinstallation AttaCKs(KRACKs)」と呼ばれる WPA2というプロトコルの脆弱性なので、特定の製品（OS、デバイスなど）に関係

[ktakeda47]

wpasupplicant の更新降ってきた

[tototti]

ひとまずはWPA2を使い続けて、修正パッチを待つのが正しそう。

[ume-y]

「パッチを当てるまでWEPを使うようなことはせず、WPA2を使い続けるほうがよい」

[at_yasu]

“パッチを当てるまでWEPを使うようなことはせず、WPA2を使い続けるほうがよい ”

[Tomato-360]

わかりやすく解説されている。物理的にWi-Fiに接続できる環境であればクラックできるというところがポイントかな。

[asuka0801]

“ハンドシェイクでのメッセージの再送信で鍵が再インストールされ、Nonceがリセットされる”もうパッチ出てるしそこまで気にする必要はない。

[mrtc0]

“特定の製品（OS、デバイスなど）に関”

[komorih]

WPA (Wi-Fi Protected Access) の脆弱性 KRACKs (Key Reinstallation AttaCKs) の概要。プロトコル (4 ウェイハンドシェイク) そのものの問題なのにパッチで修正できる理由が謎

[csal8040]

根本原因は「ハンドシェイクでのメッセージの再送信で鍵が再インストールされ、Nonceがリセットされる」 クライアント側のアップデートで回避可能、WPA2というプロトコル自体が使えなくなるようなことはなさそうです。

[hanazukin]

すっきりしててわかりやすかった

[tetsutalow]

このまとめが一番すっきりしてますね、ありがたいです。

[quick_past]

あくまでクライアント側の問題なのかな

[and_hyphen]

“パッチを当てるまでWEPを使うようなことはせず、WPA2を使い続けるほうがよい”

[kiri3]

ふむふむ

[braitom]

これも図があって分かりやすい。

[richard_raw]

プロトコルレベルっていうから最悪の場合ルーターを買い替えなきゃいけないのか……と思ったら基本的にクライアントにパッチを当てればいいらしい。パスワード変更も不必要。

[monaken]

Wi-Fiのアクセスポイントでは無く繋いでいる端末から暗号キーを抜き取る手法なのでスマホやガジェットのセキュリティアップデート待ちという感じ。

[iwanofsky]

うむ

[hiroomi]

"メッセージ3を収集してリプレイ攻撃を仕掛けることでNonceのリセットを強制できる"

[Koganes]

図の一番下の矢印がメッセージ３になってますよ。４では。

[ktanaka117]

> 攻撃者は物理的にWi-Fiに接続できる環境にいる必要がある

[tolkine9999h]

速報

[webarata3]

“クライアント側のアップデートで回避可能”

[yunohito]

社内ウェブアプリもhttpsしとく？

[Miyakey]

WPA2の脆弱性「KRACKs」についてまとめてみた｜クラスメソッドブログ

[mori_morix]

なるほど、すごくわかりやすい！