パスワードを忘れた? アカウント作成
5903013 story
ネットワーク

VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる 38

ストーリー by hylom
ちょっと影響大きそう 部門より
STRing 曰く、

アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。

ISC DiaryDefcon 20でこれに関するプレゼンテーションが行われたそうで、100%の確率で成功するという。アルゴリズムなどはCloudCracker::Blogで解説されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 「どれくらい安価なハードウェアで何時間で解読されるのか」という情報が知りたいです。
    問題のCloudCracker::Blogでの記事「Divide and Conquer ...」 [cloudcracker.com]
    の後半の、「Cracking DES」あたりですか?
    1998年だったら25万ドルの装備で4.5日かかっていたけど、
    今なら「With 48 FPGAs, the Pico Computing DES cracking box gives ....  about half a day.」
    つまり「半日でクラックできます」と 解釈できるような。
    ただしその Pico Computing の特製マシンの価格が見当たりません。

    今後の対策で「代替となる認証プロトコルがないので、毎日パスワードを変更し、
    朝9時には社内の各支店にfaxでVPN用 パスワードを送信する」
    みたいな運用方法で乗り切れるものでしょうか。(いいかげんな想像ですが)

    • ハンドシェイクが一回傍受されてしまうと1日以内(かける予算によってはもっと早く)通信が全部解読されてしまうので、パスワード変えても無駄ですね…

      親コメント
    • >> 特製マシンの価格

      クラッキング専用H/Wが「普及」するとも思えず、待ってても(?)、安くなることは無いでしょう(笑)

      FPGAを48個も使うなら、イマドキのPCのようなお安いモノでは無いですが、
      必ずしも、国家レベルという高嶺の花でも無いような。。。

      親コメント
      • 自己レス。
        セキュリティ専門企業なら稟議通る金額かな?と思い、国家レベルの金額じゃ無いと書いたが、
        民間企業が「解いてどうする?」と考えると、所有する意義やコストパフォーマンスの面では、国家レベルかも。

        親コメント
        • コメントありがとうございます。
          「民間で買うには高いけど、国家レベル予算ほどじゃない金額」という事で
          具体的な使用方法が見えてきました。
          企業レベルとか国家レベルで日本の技術を盗みたいと狙うような
          アジアの某国にとっては今後使いたいクラック手法のような気がします。

          親コメント
        • by Anonymous Coward

          著作権がらみの団体とかは欲しがるかもね。
          他にもいろんなレイヤーのいろんな暗号をクラックしようとしているかも。

        • by Anonymous Coward

          たかだか数十万ドル程度の金額なら問題になるような金額ではないだろう。
          おそらく企業の関心事は合法的に可能かどうか

    • by Anonymous Coward on 2012年08月02日 18時51分 (#2205251)

      以下のニュースでは「1日とかからない」という事です。
      DEFCON参加の専門家、「MS-CHAP v2」をクラックするツールを発表 - CNET Japan [cnet.com]

      # とりあえず、速報

      親コメント
    • by Anonymous Coward

      取らぬ狸のなんたらでどんぶり勘定してみた。

      450MHzで動かしてるとなってるのでそんなに安物の石ではないはず。
      パラレルで計算して速度を稼いでるとすれば容量も大きいものを選ぶと推測。
      I/OがボトルネックになるとマズそうなのでGHzオーダーのシリアル系I/Fを持ったものかな?

      そこそこ高級なFPGAだと1つ$1000ってオーダーなのでそれを48個搭載したボード
      (正確には複数のボードで48個?)と考えれば石だけで$50000オーダー。
      実際基板を含めてもその半分ぐらいの値段のかもしれないし、倍のものかもしれないけど
      どっちみち原価として数万~10万ドルぐらいは覚悟しないとダメかな?

      • 写真に出てるのはPICO SC-5 [picocomputing.com]っぽいですね。Xilinx Kintex-7かVertex-6が最大48個。このFPGAの価格も調べてみたんですが、 1個10万円20万円とか。FPGAって高いんですね。量産したらもっと安くなるのかと思ったら。http://www.picocomputing.com/pdf/SC5_sm.pdf [picocomputing.com]によると、最上位モデルでKintex-7 K325Tが搭載可能で、これがロジックセル数326,080 [xilinx.com]。

        親コメント
        • by Anonymous Coward on 2012年08月02日 23時56分 (#2205426)

          >1個10万円20万円とか。FPGAって高いんですね。

          FPGAにもピンからキリまであって,10万円というのはそのFPGAファミリー中のチップサイズ最大クラスのものです
          さすがに生産数量が少なくそれなりの価格ですが,ミドルレンジ~ローエンドのものだと1桁以上値段が下がります
          大きいから/値段が高いから高速で動く(クロック周波数が高い)というわけではないので,比較的単純なパイプライン演算であれば廉価な評価ボードを目一杯並べてもハードは作れます

          予算さえあればFPGAを使った市販の汎用エミュレーション・マシン/ハードウェア・アクセラレータを選り取りみどりで購入出来ますから,本気になった組織(?)にとってはハードウェアの準備のハードルは非常に低いと言って良いでしょう

          親コメント
        • by Anonymous Coward on 2012年08月02日 23時21分 (#2205408)

          FPGAをブン回している現状では今すぐ驚異になるわけではないけれど、1,2年後にはGPUなどに移植されて容易に解かれそうですね。
          家庭用上位〜SOHOクラスのルーターに載っているPPTP-VPN使っている人は要注意。

          親コメント
    • by Anonymous Coward

      総当たりにパスワードの定期変更は運ゲーにしかならん

    • 最後まで読むと特製マシンをhttps://www.cloudcracker.com/に
      インテグレートしたので誰でもロハで使えるとかいてある。

  • (2^56)! (スコア:4, 興味深い)

    by ko-zu (30390) on 2012年08月02日 19時31分 (#2205285) ホームページ 日記

    元記事
    > This brings us down to a total complexity of 256!
    一瞬なんの冗談かと思った。
    #階乗の近似公式の証明法が思い出せない

    結局、DESを3通りの鍵でECBのように使うというポカをやっているので、SingleDES つまり2^56通りの鍵にしかならない、という事ですね
    DESの全数探索はハードウェアで高々数時間~数日で解読できるので、結局ユーザーパスワード無しに傍聴できるし偽造もできる、と。
    #今ならもっと速いよね

    • by JULY (38066) on 2012年08月03日 11時12分 (#2205669)

      結局、DESを3通りの鍵でECBのように使うというポカをやっているので、SingleDES つまり2^56通りの鍵にしかならない、という事ですね

      この部分を読んだ時、LM Hash がパスワードを 7 文字ずつに分けて、それぞれに計算したハッシュ値を保存していたのを思い出しました。Microsoft らしいと言うかなというか...

      にしても、えらく分かりやすい問題だったなぁ。ブログの本文で 256分しか強度がないよ、という説明の前に、ChallengeResponse の生成部分を抜き出した図を見て、「これ、Single DES を3つ分だよなぁ」と思っていたら、その通りだった。

      親コメント
    • by Anonymous Coward

      3DES重すぎだから軽くしてやったぜ(キリッ的なノリじゃないだろな・・・。
      まあでもクラックした人が凄いな。後出しジャンケンで色々言えるだろうが

      • by ko-zu (30390) on 2012年08月02日 21時29分 (#2205343) ホームページ 日記

        残念ながら3回別の鍵で同じデータを(3重ではなく)1重に暗号化して並べてるだけなので計算量は減らない

        あの時代にすでに3コア以上への最適化を進めていたんだよ! な(ry

        親コメント
        • by Anonymous Coward

          あの~3コアあっても直列化できないんですけど~

  • 機種(具体的にはN-04Cとか)によってはPPTP VPNしかサポートしてないのですが。
    公衆無線LANから自宅ネットワーク等に比較的安全にアクセスする手段だったのですが、これでお亡くなりですね。
    じゃあ3Gなら?となると、AndroidのPPTP自体暗号化時のバグ [google.com]放置されてて使い物になるか怪しかったりで・・・

    クライアントWindowsだと、PPTPサーバーしかデフォルトで入ってないし、IPSecサーバー内蔵ルータやら、安価で省電力なVPNサーバー箱やらの入手も考えないと・・・

    自宅のVPNに接続してL2TP/IPSecでトンネリングしてくれるWi-Fiモバイルルータみたいな物無いかなー

    --
    誰も信じちゃいけない、裏切られるから。
    私を信じないで、貴方を裏切ってしまうから。
    • 当方はauのCGNがらみで勢いづいてRTX810買ったので直接的に影響は受けないのですが、
      考えてみればなんでL2TP/IPsec対応の比較的安いルータ(BHR-4RV/4GRVを考えると有線のみで1万以下とか)がないのでしょうね?
      モバイルルータにもVPNクライアント(トンネリング)機能が載ってるものは記憶にないですし。
      ルータの処理が増えて一ランク上のプロセッサを載せないと見劣りする性能になるとか?

      親コメント
    • by Anonymous Coward

      しばらく前まで、Forticlient無料版でIPsec接続が出来ていたんですが・・・
      2011年7月で任意のIPsecができる版はダウンロード終了となってしまいました。

      YAMAHAルータと接続した実績があるので、細かな調整を行えばたいていのサーバと繋がるとは思います。
      もしライセンスがあるなら試してみる価値はあるのではないかと思います。
      # 使っているのは、4.1系です。

      # 現状の無償版はFortigate専用ですね。
      # 詳細パラメータは一切指定できない。

  • 認証はPPPを使うから、MS-CHAPv2も選択できるんだけども。PPTPを使わなければ(とりあえず)安心、てことでいいんだろうか。

    元のページざっと眺めたけど、IPSEC-PSK over PPTPにしか言及していないっぽいのでよくわからなかった。

  • by Anonymous Coward on 2012年08月02日 18時21分 (#2205232)

    いつまでハッカーとのいたちごっこは続くのか?
    終わりのない戦い

    • by 90 (35300) on 2012年08月02日 18時50分 (#2205250) 日記

      プロトコルが鍵長を長くしていけば計算量的にその時々の現実的な時間で破れなかったり、あるいはそもそも原理的に安全だったりすればいいんですけどね。作るときはみんなそういうふうに作ったつもりなんでしょうね。でも欠陥があったりして、計算量が実はすごく節約できてしまったりすると。

      暗号がおおやけに破られるのって、もちろん開発中に欠陥が見つかってそもそも採用されなければベストですけど、いったんデプロイされてからなら、できるだけ早くに分かったほうがいいと思いますけどね。むしろ積極的に破ってもらいたいですね。敵が何度攻めてきても攻め落とされたことのないお城にいると戦争ばっかやってて怖いかもしれないですけど、敵がどこにいるのか分からない、中なら安全と思ってても実は入ってきてるんじゃないかという噂を聞くより、いいと思いません?

      # ところでGoogle日本語入力さん、学習オフのはずなのに つうしん を 通神 って一発変換してくれたんですけど、カワカミンを吸収しすぎてます?

      親コメント
    • by Anonymous Coward

      ハッキング行為をこの世からなくしたいのなら、
      冬木市に行って聖杯を勝ち取るしかないと思うよ。

      • by Anonymous Coward

        そして世界に悪意が溢れかえるのです。

    • by Anonymous Coward

      技術的に何の役にも立たない認証でも破ったら逮捕されるように法改正するといいよ! B-CASとかB-CASとかB-CASとかDVDとか。中国とか通信内容を傍受したくて仕方ない敵国とかからは破り放題だけどね!

  • by Anonymous Coward on 2012年08月02日 18時46分 (#2205245)

    IPv6仮想アクセス(端末型)がPPTPを使ってたがどうするんだろうか。端末型の提供を終了するのかOCN IPv6やネットワーク型と同様L2TPに移行するのか

  • by Anonymous Coward on 2012年08月02日 23時33分 (#2205416)

    PPTP対応ルーターは、業務用でもちらほらあります。
    さて、各社どう対応するか見物です。

    なんらかの対案を用意するのか、使わないよう勧告するのか、だんまりを決め込むのか。

    • by Anonymous Coward

      なんか勘違いしているような気がする。
      試金石という意味ではメーカーではなくシステム担当者(および会社)の運用ポリシーの問題でしょ。

      「メーカーが使うな、と言わなかったのでそのまま使っていました」なんて言い訳にならないわけで。

      PPTPを使ったサービスを提供する立場なら主体的な判断をしないとそれこそファーストサーバ事件の反省がないのと変わらない。

  • by Anonymous Coward on 2012年08月03日 8時05分 (#2205511)

    映像関係のプロテクトの欠陥を調べるだけでも逮捕されるようになるんでしょうか?

  • by Anonymous Coward on 2012年08月04日 0時08分 (#2206255)

    PPTP使おうと思ってるのに、というか、「MS-CHAPv2」てリモートディスクトップとか共有とかログオンとかにも使われてなかったか?
    全部使うなってこと?どうすりゃいいんだよ

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...