パスワードを忘れた? アカウント作成
9649 story

OpenPGPに設計上の脆弱性 46

ストーリー by Oliver
ちょっとした親切心が命取り 部門より

tamo曰く、"Serge MisterおよびRobert Zuccherato という Entrust の暗号の専門家たちが、OpenPGPに脆弱性を発見したらしい。これを受けてGnuPGはパッチを用意しているが、あくまで規格自体の問題であるから、今回のパッチは根本的な解決ではないとしている。なお、この脆弱性は通常のPGPの使用には影響しないが、自動的に応答して何度も試行を許すようなPGPプロセスでは悪用されることもあり得るとされている。"

OpenPGPは巨大なファイルを復号化する際に全部を復号しなくても鍵が間違っているかどうかすぐにチェックできる仕組みを備えている。そのため、さまざまな間違った鍵を使って暗号化されたメッセージを自動応答システムに送り付け、即席チェックにひっかかってエラーがすぐに返ってくるか、それとも一度全体を復号化してからエラーが返ってくるのかの時間差を見ることにより、各ブロック(8-16バイト)の先頭2バイトの平文が分かる、という攻撃が可能だ。MisterとZuccheratoの実装では1.8GHzのPentium Mで最初の2バイトに4時間、その後は2時間ごとに2バイトの平文を得ることができたという。全体の12.5%もしくは25%の平文を得ることができるというのは暗号システムとしては致命的だが、幸いにもOpenPGPの場合は暗号化の前に入力を圧縮するのが一般的なため、圧縮されたデータの断片しか得られず、本当の平文の再構築は困難だ。

この場合は実用的な攻撃ではないが、他のシステムにも同種の問題が潜んでいる場合はもっと簡単に利用できる可能性は十分にある。暗号システムの設計に興味のある人は論文を読んでおいて損はない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 理論と現実の差 (スコア:5, 参考になる)

    by Anonymous Coward on 2005年02月11日 17時48分 (#692631)
    「自動的に応答して何度も試行を許すようなPGPプロセスでは」という部分がポイント。内部にOpenPGP仕様の暗号ツールが入っていて、リアルタイムにレスポンスを返すようなシステムは存在していない。暗号化MLのエンジンというけれど、タイムスタンプを見ようとすると処理時間差が1秒以上ないと記録されないので、復号化に1秒以上かかるような大きなサイズのメールを大量に送り、そのレスポンスを見る必要がある。しかも復号が正しくなかったらサーバから反応を返さないという仕様にしてしまえば時間差云々を計るのは無理。 そもそも、これは暗号解読以前の問題としてMLサーバへのDoSだろう。暗号学上においては理論的には正しいが、こんなので問題が発生することは現実にはありえない。
    • by Anonymous Coward on 2005年02月11日 18時05分 (#692633)
      >内部にOpenPGP仕様の暗号ツールが入っていて、リアルタイムにレスポンスを返すようなシステムは存在していない。

      知らないのと存在していないのは別で、
      今回の場合、現実的に実装が可能なようですから、
      知らないだけでどこかで実装されたシステムが存在する
      可能性は否定出来ないのでは。
      親コメント
      • by Anonymous Coward
        悪魔の証明ですか?

        知られていないシステムの具体例を披露せずに指摘するなら、
        せめて、「知らなかったら、よく知られるシステムで
        そういう実装をしちゃうかも知れない」というべきだな。

        ちなみに、具体例を指摘したらサイバーノーガード戦法によって
        逮捕されてしまうかもしれないので注意しようw
    • by Anonymous Coward
      > しかも復号が正しくなかったらサーバから反応を返さないという仕様にしてしまえば時間差云々を計るのは無理。

      > 暗号学上においては理論的には正しいが、こんなので問題が発生することは現実にはありえない。

      なんで、これが「参考になる」なの?

      無知なやつが答えだけ聞いて、知ったかぶりしてるだけじゃん。
  • 「すぐにチェックできる仕組み」の応答時間の差を利用しているなら
    全部チェックするまでかかる時間に応答を返すようにすれば問題ないように見えます。
    大きなファイルでは時間かかっちゃいますけど、解読されるよりいいでしょう。
    そして、規格であるOpenPGPのRFCを改版して、(draftでいうとrfc2440bisになる?)
    GnuPGや商用PGPも直すと

    これじゃだめ?
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...