WPA3選択時に表示されるPWE導出SAEメカニズムとは?

Post Date   :   2023.12.27

Category  :  Arista

CloudVision-CUE User-Guide v15.0.1がリリースされているものの、このSAEメカニズムの選択に関しては掲載がありませんでしたので、こちらで説明しておきます。画像はクリックで拡大できます。

PWE導出SAEメカニズム

SSIDのセキュリティ選択にて、WPA2/WPA3ミックスモードまたはWPA3のみを選択できる環境が多くなってきているかと存じます。暗号化方式WPA3は、SAEを用いて暗号化に利用する鍵を生成する鍵交換方式を利用しております。また、WPA3では、WPA2の時にもあったサイバー攻撃として、辞書などを用意して設定されたPSK(暗号鍵)を見つけるための総当り(別名ブルートフォース(brute-force) 攻撃や中間者攻撃を防ぐための鍵交換方式が採用されたものの、その対策を行う場合のSAEメカニズムには次の3種類ありまして、WPA3のクライアントのOSやデバイスドライバの特性によって、対応するSAEメカニズムの種類が合致していなければ、ローミング出来ないことがあります。(あくまで、サイバー攻撃対策をすることによって、対策メカニズムの不一致で接続できなくなるという意味です)

  • Hunting-and-pecking のみ = HNPのみ を示す
  • Hash-to-Element のみ = H2Eのみ を示す
  • Hunting-and-peckingとHash-to-Elementの両方 =HNPとH2Eの両方対応を示す

ここで選択時に注意しなければならない事は、WPA3に対応しているデバイスが、H2Eにしか対応していない場合、一番下の両方を選択してしまうと、ローミングが出来なくなる点です。

なお、この設定が有効であるのは、画面に記載の通りこの設定は、2.4 GHzと5 GHzで動作しているSSIDに対してのみ有効です。

この設定はSAEメカニズムへのサイバー攻撃を防止する目的のための設定であるため、クライアントデバイスのOSが一部不明だったりと、うまくローミング出来ない等ケースがある場合は、設定しない方が良い場合もあります。

SSIDを作成し直すことで、上の画像の通り、SAEメカニズムが未設定状態に戻りますので、ローミング時の不具合が一部のデバイスで発生する場合は、未選択のままとするしかありませんが、その下にある「KRACKによる脅威の軽減」のチェックを入れることにより、ブルートフォース(総当り攻撃)的な攻撃手法からの対策はできるようになっています。

説明は以上です。

なお、以下の箇条書きはWPA3対応デバイスを検索したときに、SAEメカニズムの何に対応しているかの記載のある文章を拾ったものになります。ご参考までとしてください。詳細はサーチエンジンなどを利用して、自分の使っているデバイスがサイバーセキュリティ対策のSAEメカニズムのどれに対応しているか調べてみて下さい。

  • Android 12 は、WPA3 Hash-to-Element(H2E)認証交換もサポートしています。
  • インテル® ワイヤレス・アダプターは、Windows* 11 および Wi-Fi ドライバー 22.70.x 以降を使用する場合、WPA3-PSK H2E (Hash-to-Element) を完全にサポートしています。