以前、こちらの記事でWindows PCでのWPA3-Enterprise の振る舞いについて記載しました。
最近、WPA2-Enterprise しかサポートしていない端末(以後WPA2端末)が、WPA3-Enterprise の SSID に接続するけど不具合なの?と問い合わせを受けたので、
改めてWi-Fi Alliance の WPA3 Specification を確認してみました。(記事投稿時点では Version 3.4 です)
おさらいですが、WPA3-Enterprise には以下の3つのモードがあります。
- WPA3-Enterprise only mode
- WPA3-Enterprise transition mode
- WPA3-Enterprise 192-bit mode (Arubaの設定ではCNSA)
ここで、transition mode は WPA2 端末の接続を許可するモードなので、WPA2 端末が接続可能なのは期待動作です。
WPA3-Enterprise 192-bit mode は、GCMP-256 の暗号化プロトコルを採用しており、WPA2 ではサポートされていないため、WPA2端末が接続することはありません。
残った WPA3-Enterprise only mode が定義が緩やかなものになっていて、結論から言うとWPA2端末が接続できる可能性があります。
WPA3 Specification からの抜粋が以下になります。
When an AP's BSS is operating in WPA3-Enterprise Only Mode:
1. The AP's BSS Configuration shall enable at least AKM suite selector 00-0F-AC:5 (IEEE 802.1X with SHA-256).
2. The AP's BSS Configuration shall not enable AKM suite selector: 00-0F-AC:1 (IEEE 802.1X with SHA-1).
3. The AP's BSS Configuration shall be PMF Required, i.e., AP sets MFPC to 1 and MFPR to 1 in beacons and
probe responses of the BSS.
NOTE: The AP should not reject an association on the basis of the value of MFPR indicated by the STA in its
(Re)Association Request frame.
When a STA's Network Profile is in WPA3-Enterprise Only Mode:
1. The STA's Network Profile shall allow at least AKM suite selector 00-0F-AC:5 to be selected.
2. The STA's Network Profile shall not allow AKM suite selector 00-0F-AC:1 to be selected.
NOTE: This means a STA operating in WPA3-Enterprise Only Mode will not connect to an AP that advertises only
AKM suite selector 00-0F-AC:1 (IEEE 802.1X with SHA-1 AKM).
3. The STA's Network Profile shall be PMF Required, i.e., STA sets MFPC to 1 and MFPR to 1 in all (re)association
requests to APs in that network.
NOTE: This means a STA operating in WPA3-Enterprise Only Mode will not connect to an AP that does not
advertise support for PMF.
上記を読み解くと、
AKM 5 (IEEE 802.1X with SHA-256) でMFPをサポートしている端末であれば接続可能です。(暗号化プロトコルでGCMP-256が必須という記載もないです)
AKM 5 も MFP も、WPA2の時代からオプション機能として存在している機能なので、
これらの機能をサポートしている端末であれば、WPA3-Enterprise only mode に接続可能です。(CCMP 128の場合)
これは問題となるのか?セキュリティ上の懸念点は?
私の理解では、このことはセキュリティ上の問題とはなりません。
WPA3では大きく2つのポイントでセキュリティの向上を図っています。
1. レガシーなセキュリティ上懸念があるプロトコルを排除(WEP, TKIP, SHA-1 など)
2. 新しいセキュリティレベルが高いプロトコルを採用(GCMP-256, HMAC-SHA-384 など)
WPA2の課題は、規格が登場した時代背景(古く、セキュリティを強く考慮していない端末が多かった)もあり、
上記1のプロトコルを排除することができていませんでした。
WPA3ではその点を一新し、WPA2時代の機能の中でセキュリティレベルが高いものを残しつつ、新たな機能も採用しています。
WPA3-Enterprise only mode は、新機能を必須とはしていないので、結果的に一部のセキュリティレベルが高いWPA2端末が接続できるようになっています。
端末側もそれを理解して、WPA3-Enterprise only mode対応と謳ってくれると分かりやすいのですが、そうなっていないのが現状です。WPA3の仕様が何回かにわたってアップデートされていることも要因の1つかもしれません。
WPA3対応端末だけを接続させたければどうしたらいいのか?
上記の通り、WPA3-Enterprise only mode でも問題はありません。
どうしても、WPA3-Enterprise 対応と明記している端末(もしくは端末側でWPA3-Enterpriseの設定を明確にしている端末)だけをWi-Fi に接続させたい場合は、
WPA-Enterprise 192-bit mode を採用することで、WPA3-Enterprise対応と明記している端末だけが接続可能なWi-Fiになります。
AP側で WPA3-Enterprise only mode で GCMP-256 を設定することも可能ですが、
私の知る限り、少なくともWindows PC がこのモードをサポートしていないケースがあるので、あまりお勧めできません。(iPhone, Pixel だと接続できました)
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------