VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる 38
ストーリー by hylom
ちょっと影響大きそう 部門より
ちょっと影響大きそう 部門より
STRing 曰く、
アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。
ISC DiaryDefcon 20でこれに関するプレゼンテーションが行われたそうで、100%の確率で成功するという。アルゴリズムなどはCloudCracker::Blogで解説されている。
どれくらい安価なハードウェアで何時間で解読? (スコア:4, 参考になる)
「どれくらい安価なハードウェアで何時間で解読されるのか」という情報が知りたいです。
問題のCloudCracker::Blogでの記事「Divide and Conquer ...」 [cloudcracker.com]
の後半の、「Cracking DES」あたりですか?
1998年だったら25万ドルの装備で4.5日かかっていたけど、
今なら「With 48 FPGAs, the Pico Computing DES cracking box gives .... about half a day.」
つまり「半日でクラックできます」と 解釈できるような。
ただしその Pico Computing の特製マシンの価格が見当たりません。
今後の対策で「代替となる認証プロトコルがないので、毎日パスワードを変更し、
朝9時には社内の各支店にfaxでVPN用 パスワードを送信する」
みたいな運用方法で乗り切れるものでしょうか。(いいかげんな想像ですが)
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:3)
ハンドシェイクが一回傍受されてしまうと1日以内(かける予算によってはもっと早く)通信が全部解読されてしまうので、パスワード変えても無駄ですね…
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:3)
>> 特製マシンの価格
クラッキング専用H/Wが「普及」するとも思えず、待ってても(?)、安くなることは無いでしょう(笑)
FPGAを48個も使うなら、イマドキのPCのようなお安いモノでは無いですが、
必ずしも、国家レベルという高嶺の花でも無いような。。。
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:2)
自己レス。
セキュリティ専門企業なら稟議通る金額かな?と思い、国家レベルの金額じゃ無いと書いたが、
民間企業が「解いてどうする?」と考えると、所有する意義やコストパフォーマンスの面では、国家レベルかも。
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:2)
コメントありがとうございます。
「民間で買うには高いけど、国家レベル予算ほどじゃない金額」という事で
具体的な使用方法が見えてきました。
企業レベルとか国家レベルで日本の技術を盗みたいと狙うような
アジアの某国にとっては今後使いたいクラック手法のような気がします。
Re: (スコア:0)
著作権がらみの団体とかは欲しがるかもね。
他にもいろんなレイヤーのいろんな暗号をクラックしようとしているかも。
Re: (スコア:0)
たかだか数十万ドル程度の金額なら問題になるような金額ではないだろう。
おそらく企業の関心事は合法的に可能かどうか
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:2, 参考になる)
以下のニュースでは「1日とかからない」という事です。
DEFCON参加の専門家、「MS-CHAP v2」をクラックするツールを発表 - CNET Japan [cnet.com]
# とりあえず、速報
Re: (スコア:0)
取らぬ狸のなんたらでどんぶり勘定してみた。
450MHzで動かしてるとなってるのでそんなに安物の石ではないはず。
パラレルで計算して速度を稼いでるとすれば容量も大きいものを選ぶと推測。
I/OがボトルネックになるとマズそうなのでGHzオーダーのシリアル系I/Fを持ったものかな?
そこそこ高級なFPGAだと1つ$1000ってオーダーなのでそれを48個搭載したボード
(正確には複数のボードで48個?)と考えれば石だけで$50000オーダー。
実際基板を含めてもその半分ぐらいの値段のかもしれないし、倍のものかもしれないけど
どっちみち原価として数万~10万ドルぐらいは覚悟しないとダメかな?
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:4, 参考になる)
写真に出てるのはPICO SC-5 [picocomputing.com]っぽいですね。Xilinx Kintex-7かVertex-6が最大48個。このFPGAの価格も調べてみたんですが、 1個10万円20万円とか。FPGAって高いんですね。量産したらもっと安くなるのかと思ったら。http://www.picocomputing.com/pdf/SC5_sm.pdf [picocomputing.com]によると、最上位モデルでKintex-7 K325Tが搭載可能で、これがロジックセル数326,080 [xilinx.com]。
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:4, 参考になる)
>1個10万円20万円とか。FPGAって高いんですね。
FPGAにもピンからキリまであって,10万円というのはそのFPGAファミリー中のチップサイズ最大クラスのものです
さすがに生産数量が少なくそれなりの価格ですが,ミドルレンジ~ローエンドのものだと1桁以上値段が下がります
大きいから/値段が高いから高速で動く(クロック周波数が高い)というわけではないので,比較的単純なパイプライン演算であれば廉価な評価ボードを目一杯並べてもハードは作れます
予算さえあればFPGAを使った市販の汎用エミュレーション・マシン/ハードウェア・アクセラレータを選り取りみどりで購入出来ますから,本気になった組織(?)にとってはハードウェアの準備のハードルは非常に低いと言って良いでしょう
Re:どれくらい安価なハードウェアで何時間で解読? (スコア:1)
FPGAをブン回している現状では今すぐ驚異になるわけではないけれど、1,2年後にはGPUなどに移植されて容易に解かれそうですね。
家庭用上位〜SOHOクラスのルーターに載っているPPTP-VPN使っている人は要注意。
Re: (スコア:0)
総当たりにパスワードの定期変更は運ゲーにしかならん
特製マシンの価格はロハ (スコア:0)
最後まで読むと特製マシンをhttps://www.cloudcracker.com/に
インテグレートしたので誰でもロハで使えるとかいてある。
(2^56)! (スコア:4, 興味深い)
元記事
> This brings us down to a total complexity of 256!
一瞬なんの冗談かと思った。
#階乗の近似公式の証明法が思い出せない
結局、DESを3通りの鍵でECBのように使うというポカをやっているので、SingleDES つまり2^56通りの鍵にしかならない、という事ですね
DESの全数探索はハードウェアで高々数時間~数日で解読できるので、結局ユーザーパスワード無しに傍聴できるし偽造もできる、と。
#今ならもっと速いよね
Re:(2^56)! (スコア:2)
結局、DESを3通りの鍵でECBのように使うというポカをやっているので、SingleDES つまり2^56通りの鍵にしかならない、という事ですね
この部分を読んだ時、LM Hash がパスワードを 7 文字ずつに分けて、それぞれに計算したハッシュ値を保存していたのを思い出しました。Microsoft らしいと言うかなというか...
にしても、えらく分かりやすい問題だったなぁ。ブログの本文で 256分しか強度がないよ、という説明の前に、ChallengeResponse の生成部分を抜き出した図を見て、「これ、Single DES を3つ分だよなぁ」と思っていたら、その通りだった。
Re: (スコア:0)
3DES重すぎだから軽くしてやったぜ(キリッ的なノリじゃないだろな・・・。
まあでもクラックした人が凄いな。後出しジャンケンで色々言えるだろうが
Re:(2^56)! (スコア:2)
残念ながら3回別の鍵で同じデータを(3重ではなく)1重に暗号化して並べてるだけなので計算量は減らない
あの時代にすでに3コア以上への最適化を進めていたんだよ! な(ry
Re: (スコア:0)
あの~3コアあっても直列化できないんですけど~
スマホのVPN手段がぁ・・・ (スコア:2)
機種(具体的にはN-04Cとか)によってはPPTP VPNしかサポートしてないのですが。
公衆無線LANから自宅ネットワーク等に比較的安全にアクセスする手段だったのですが、これでお亡くなりですね。
じゃあ3Gなら?となると、AndroidのPPTP自体暗号化時のバグ [google.com]放置されてて使い物になるか怪しかったりで・・・
クライアントWindowsだと、PPTPサーバーしかデフォルトで入ってないし、IPSecサーバー内蔵ルータやら、安価で省電力なVPNサーバー箱やらの入手も考えないと・・・
自宅のVPNに接続してL2TP/IPSecでトンネリングしてくれるWi-Fiモバイルルータみたいな物無いかなー
Re:スマホのVPN手段がぁ・・・ (スコア:1)
当方はauのCGNがらみで勢いづいてRTX810買ったので直接的に影響は受けないのですが、
考えてみればなんでL2TP/IPsec対応の比較的安いルータ(BHR-4RV/4GRVを考えると有線のみで1万以下とか)がないのでしょうね?
モバイルルータにもVPNクライアント(トンネリング)機能が載ってるものは記憶にないですし。
ルータの処理が増えて一ランク上のプロセッサを載せないと見劣りする性能になるとか?
Re:スマホのVPN手段がぁ・・・ (スコア:1)
数年前でしたか、リンクシスで 1 万円以下の有線ルータで、IPSecトンネルが作成できるのがありましたが、
ああいうものがまた復活して欲しいとは思います。
Re: (スコア:0)
しばらく前まで、Forticlient無料版でIPsec接続が出来ていたんですが・・・
2011年7月で任意のIPsecができる版はダウンロード終了となってしまいました。
YAMAHAルータと接続した実績があるので、細かな調整を行えばたいていのサーバと繋がるとは思います。
もしライセンスがあるなら試してみる価値はあるのではないかと思います。
# 使っているのは、4.1系です。
# 現状の無償版はFortigate専用ですね。
# 詳細パラメータは一切指定できない。
L2TP/IPsecは無事なのかな? (スコア:1)
認証はPPPを使うから、MS-CHAPv2も選択できるんだけども。PPTPを使わなければ(とりあえず)安心、てことでいいんだろうか。
元のページざっと眺めたけど、IPSEC-PSK over PPTPにしか言及していないっぽいのでよくわからなかった。
Re:L2TP/IPsecは無事なのかな? (スコア:2)
PPPだと、その気になればEAPも使えます。
戦いはいつまで続くんだ? (スコア:0)
いつまでハッカーとのいたちごっこは続くのか?
終わりのない戦い
Re:戦いはいつまで続くんだ? (スコア:4, 参考になる)
プロトコルが鍵長を長くしていけば計算量的にその時々の現実的な時間で破れなかったり、あるいはそもそも原理的に安全だったりすればいいんですけどね。作るときはみんなそういうふうに作ったつもりなんでしょうね。でも欠陥があったりして、計算量が実はすごく節約できてしまったりすると。
暗号がおおやけに破られるのって、もちろん開発中に欠陥が見つかってそもそも採用されなければベストですけど、いったんデプロイされてからなら、できるだけ早くに分かったほうがいいと思いますけどね。むしろ積極的に破ってもらいたいですね。敵が何度攻めてきても攻め落とされたことのないお城にいると戦争ばっかやってて怖いかもしれないですけど、敵がどこにいるのか分からない、中なら安全と思ってても実は入ってきてるんじゃないかという噂を聞くより、いいと思いません?
# ところでGoogle日本語入力さん、学習オフのはずなのに つうしん を 通神 って一発変換してくれたんですけど、カワカミンを吸収しすぎてます?
Re: (スコア:0)
ハッキング行為をこの世からなくしたいのなら、
冬木市に行って聖杯を勝ち取るしかないと思うよ。
Re: (スコア:0)
そして世界に悪意が溢れかえるのです。
Re: (スコア:0)
技術的に何の役にも立たない認証でも破ったら逮捕されるように法改正するといいよ! B-CASとかB-CASとかB-CASとかDVDとか。中国とか通信内容を傍受したくて仕方ない敵国とかからは破り放題だけどね!
IPv6仮想アクセス (スコア:0)
IPv6仮想アクセス(端末型)がPPTPを使ってたがどうするんだろうか。端末型の提供を終了するのかOCN IPv6やネットワーク型と同様L2TPに移行するのか
試金石 (スコア:0)
PPTP対応ルーターは、業務用でもちらほらあります。
さて、各社どう対応するか見物です。
なんらかの対案を用意するのか、使わないよう勧告するのか、だんまりを決め込むのか。
Re: (スコア:0)
なんか勘違いしているような気がする。
試金石という意味ではメーカーではなくシステム担当者(および会社)の運用ポリシーの問題でしょ。
「メーカーが使うな、と言わなかったのでそのまま使っていました」なんて言い訳にならないわけで。
PPTPを使ったサービスを提供する立場なら主体的な判断をしないとそれこそファーストサーバ事件の反省がないのと変わらない。
日本だと (スコア:0)
映像関係のプロテクトの欠陥を調べるだけでも逮捕されるようになるんでしょうか?
MS-CHAPv2ってWindows関係でいろいろ使ってるような (スコア:0)
PPTP使おうと思ってるのに、というか、「MS-CHAPv2」てリモートディスクトップとか共有とかログオンとかにも使われてなかったか?
全部使うなってこと?どうすりゃいいんだよ
Re: (スコア:0)
今回のは元記事の"End of Days for MS-CHAPv2"を"ご臨終"と訳しただけじゃないの?