パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる」記事へのコメント

  • 「どれくらい安価なハードウェアで何時間で解読されるのか」という情報が知りたいです。
    問題のCloudCracker::Blogでの記事「Divide and Conquer ...」 [cloudcracker.com]
    の後半の、「Cracking DES」あたりですか?
    1998年だったら25万ドルの装備で4.5日かかっていたけど、
    今なら「With 48 FPGAs, the Pico Computing DES cracking box gives ....  about half a day.」
    つまり「半日でクラックできます」と 解釈できるような。
    ただしその Pico Computing の特製マシンの価格が見当たりません。

    今後の対策で「代替となる認証プロトコルがないので、毎日パスワードを変更し、
    朝9時には社内の各支店にfaxでVPN用 パスワードを送信する」
    みたいな運用方法で乗り切れるものでしょうか。(いいかげんな想像ですが)

    • ハンドシェイクが一回傍受されてしまうと1日以内(かける予算によってはもっと早く)通信が全部解読されてしまうので、パスワード変えても無駄ですね…

      親コメント
    • >> 特製マシンの価格

      クラッキング専用H/Wが「普及」するとも思えず、待ってても(?)、安くなることは無いでしょう(笑)

      FPGAを48個も使うなら、イマドキのPCのようなお安いモノでは無いですが、
      必ずしも、国家レベルという高嶺の花でも無いような。。。

      親コメント
      • 自己レス。
        セキュリティ専門企業なら稟議通る金額かな?と思い、国家レベルの金額じゃ無いと書いたが、
        民間企業が「解いてどうする?」と考えると、所有する意義やコストパフォーマンスの面では、国家レベルかも。

        親コメント
        • コメントありがとうございます。
          「民間で買うには高いけど、国家レベル予算ほどじゃない金額」という事で
          具体的な使用方法が見えてきました。
          企業レベルとか国家レベルで日本の技術を盗みたいと狙うような
          アジアの某国にとっては今後使いたいクラック手法のような気がします。

          親コメント
        • by Anonymous Coward

          著作権がらみの団体とかは欲しがるかもね。
          他にもいろんなレイヤーのいろんな暗号をクラックしようとしているかも。

        • by Anonymous Coward

          たかだか数十万ドル程度の金額なら問題になるような金額ではないだろう。
          おそらく企業の関心事は合法的に可能かどうか

    • by Anonymous Coward on 2012年08月02日 18時51分 (#2205251)

      以下のニュースでは「1日とかからない」という事です。
      DEFCON参加の専門家、「MS-CHAP v2」をクラックするツールを発表 - CNET Japan [cnet.com]

      # とりあえず、速報

      親コメント
    • by Anonymous Coward

      取らぬ狸のなんたらでどんぶり勘定してみた。

      450MHzで動かしてるとなってるのでそんなに安物の石ではないはず。
      パラレルで計算して速度を稼いでるとすれば容量も大きいものを選ぶと推測。
      I/OがボトルネックになるとマズそうなのでGHzオーダーのシリアル系I/Fを持ったものかな?

      そこそこ高級なFPGAだと1つ$1000ってオーダーなのでそれを48個搭載したボード
      (正確には複数のボードで48個?)と考えれば石だけで$50000オーダー。
      実際基板を含めてもその半分ぐらいの値段のかもしれないし、倍のものかもしれないけど
      どっちみち原価として数万~10万ドルぐらいは覚悟しないとダメかな?

      • 写真に出てるのはPICO SC-5 [picocomputing.com]っぽいですね。Xilinx Kintex-7かVertex-6が最大48個。このFPGAの価格も調べてみたんですが、 1個10万円20万円とか。FPGAって高いんですね。量産したらもっと安くなるのかと思ったら。http://www.picocomputing.com/pdf/SC5_sm.pdf [picocomputing.com]によると、最上位モデルでKintex-7 K325Tが搭載可能で、これがロジックセル数326,080 [xilinx.com]。

        親コメント
        • by Anonymous Coward on 2012年08月02日 23時56分 (#2205426)

          >1個10万円20万円とか。FPGAって高いんですね。

          FPGAにもピンからキリまであって,10万円というのはそのFPGAファミリー中のチップサイズ最大クラスのものです
          さすがに生産数量が少なくそれなりの価格ですが,ミドルレンジ~ローエンドのものだと1桁以上値段が下がります
          大きいから/値段が高いから高速で動く(クロック周波数が高い)というわけではないので,比較的単純なパイプライン演算であれば廉価な評価ボードを目一杯並べてもハードは作れます

          予算さえあればFPGAを使った市販の汎用エミュレーション・マシン/ハードウェア・アクセラレータを選り取りみどりで購入出来ますから,本気になった組織(?)にとってはハードウェアの準備のハードルは非常に低いと言って良いでしょう

          親コメント
        • by Anonymous Coward on 2012年08月02日 23時21分 (#2205408)

          FPGAをブン回している現状では今すぐ驚異になるわけではないけれど、1,2年後にはGPUなどに移植されて容易に解かれそうですね。
          家庭用上位〜SOHOクラスのルーターに載っているPPTP-VPN使っている人は要注意。

          親コメント
    • by Anonymous Coward

      総当たりにパスワードの定期変更は運ゲーにしかならん

    • 最後まで読むと特製マシンをhttps://www.cloudcracker.com/に
      インテグレートしたので誰でもロハで使えるとかいてある。

人生unstable -- あるハッカー

処理中...