導入のしやすさでPAEPに軍配？認証プロトコル「EAP-TTLS」

はい、こんにちは！前回記事からの続きです。

IEEE802.1X認証、すなわち、PPPの拡張プロトコルであるEAPを使った認証について紹介しておりますよ。

前回は、数あるEAP認証方式の代表格、PEAPを紹介しました。サーバ認証を行うものの、クライアント認証を行わず、また、OSの標準で使えるという手軽さと、セキュリティとのバランスのよさが魅力でした。

さて、EAP-TLS、PEAPと来たので、今回は、EAP-TTLSを取り上げます。EAP-TLSと間違えそうですが、よく見てください。Tが一つ多いですよ！

一体、EAT-TLSやPEAPと何が違うのかが分かれば、EAP認証方式の全体像がきっと見えてくるはず。

ということで、いってみよう！

追加のソフトウェアが必要だ

EAP-TTLS（EAP Tunneled Transport Layer Security）は、Funk SoftwareとCerticomという会社が共同で策定しました（知ってますか、これらの会社？界隈では有名でしょうか）。EAP-TLSを拡張したものです。

「OSそのままではサポート（natively support）していない」という文献が多いですね（最新の情報がよく分からないです）。ようは、追加でソフトウェアを導入すればよいようです。ただ、OS標準で使えるPEAPと比べてやや手間が増えますね。

PEAPとだいたい同じ？

EAP-TTLSは、暗号化（TLS）によって保護されたチャネルを作って、ユーザー名とパスワードによって認証を行います。これで、中間者攻撃のリスクを抑えられますね。

サーバ認証を行いますが、EAP-TLSとは異なり、クライアント側は証明書を発行しません。個々のコンピュータに依存しないで、どこからでもユーザー認証できるのは使い勝手がよいでしょう。ネットワーク担当者もクライアント証明の管理がいらないですし。

絵にしてみますか！

ここまで説明して何ですが、PEAPとの違いがほとんどどないですね。追加ソフトのインストールが必要なところを除けば…。上の絵も実は、PEAPの記事で使ったものと同じですｗ。

認証手順にPEAPとの違い

さはさりながら！！「EAP-TTLSは、PEAPとだいたい同じです」という結論では面白くないので、もう少し粘って調べました。

技術的に細かい違いが本当はたくさんあるのでしょうが、一つ注目するなら「暗号化チャネルを確立した後の認証手順」に違いがるようです。

EAP-TTLSには、チャレンジレスポンスやEAPの他の方式などを利用できる柔軟性があります。他方、PEAPは、EAP-TTLSに比べて認証手順に制約があるようです。

私でもかろうじて意味が分かりそうな違いはこれくらいです…。

「PEAPとだいたい同じだけど、PEAPの方が導入しやすいんじゃないかな～」くらいの理解でも当面問題なさそうです…。

おあとがよろしいようで。

はい、今回は、EAPの認証方式の一つEAP-TTLSについて紹介しました。EAPの認証方式にはまだまだたくさんあるのですが、これくらいにしておきましょうか。これでIEEE802.1X認証の話は終わりにしますか。

次回は、いよいよ無線LANのセキュリティ規格に話を移しましょう！

では！