投稿数 - 437, コメント - 59538, トラックバック - 156

APOP の脆弱性

毎朝、フジテレビの「とくダネ」を10分ほど見てから出勤するのだが、今朝(4/19)は小倉智昭が APOP の脆弱性の話をしていた。ところどころ変な言い回しがあったが、素人にも関わらず、わかりやすい的確な説明をしていたと思う。さすが喋りのプロ。

という事で、APOP の脆弱性である。
http://www.ipa.go.jp/security/vuln/200704_APOP.html
http://jvn.jp/jp/JVN%2319445002/index.html

何がどう脆弱性なのか、いまいちピンと来ないが、MD5 はブルートフォースしなくてもコリジョンが容易く出る事は周知の事実(らしい。試した事ない)。「今頃何言ってんの?」って気がしたが。今回の脆弱性はどのようにヤバイのか?

投稿日時 : 2007年4月20日 0:30

フィードバック

# re: APOP の脆弱性

> 何がどう脆弱性なのか、いまいちピンと来ないが、MD5 はブルートフォースしなくてもコリジョンが容易く出る事は周知の事実(らしい。試した事ない)。「今頃何言ってんの?」って気がしたが。今回の脆弱性はどのようにヤバイのか?

Me too.

それよりも、現状は POP3 にしろ SMTP AUTH の一部でも暗号化すらされずに password が送信されているのが現状でして。。。

そっちを先に何とかしたほうがいいと思う。
2007/04/20 0:48 | ちゃっぴ

# re: APOP の脆弱性

> 小倉智昭
> 素人にも関わらず、わかりやすい的確な説明

つ【パソコンサンデーの司会者】

ちょうど出勤時間なので、なーにそんなPOP3とかめんどくさい話を一般ピープルに向けてまーた偉そうに(ぉぃ)言ってるんだ、と思ったらそういうことだったのですね。

> 暗号化すらされずに password が送信されている

ソレダ!
サーバとクライアントの両方が対応しなくちゃいけないから、こういうのは大変なんですよね。
とりあえず Sendmail/Postfix/Exchange あたりと OutlookExpress が対応してくれればあとはなんとか。
2007/04/20 6:57 | ぽぴ王子

# re: APOP の脆弱性

> MD5 はブルートフォースしなくてもコリジョンが容易く出る事は周知の事実(らしい。試した事ない)

「同じハッシュ値を持つ2つのデータを作成すること」と「任意のハッシュ値を持つ1つのデータを作成すること」って同じ? 違う? どっちがムズい? 今は両方可能?
2007/04/20 10:02 | シャノン

# re: APOP の脆弱性

>それよりも、現状は POP3 にしろ SMTP AUTH の一部でも暗号化すらされずに password が送信されているのが現状でして。。。
>そっちを先に何とかしたほうがいいと思う。

>サーバとクライアントの両方が対応しなくちゃいけないから、こういうのは大変なんですよね。
>とりあえず Sendmail/Postfix/Exchange あたりと OutlookExpress が対応してくれればあとはなんとか。

POP over SSL の普及に拍車がかかるという事で。

>「同じハッシュ値を持つ2つのデータを作成すること」と「任意のハッシュ値を持つ1つのデータを作成すること」

後者が何の事を言ってるのか分かりませんが、「ハッシュのコリジョン云々」は前者を指しますよね。
2007/04/20 10:37 | 囚人

# re: APOP の脆弱性

> 後者が何の事を言ってるのか分かりませんが

http://www.atmarkit.co.jp/fnetwork/rensai/tcp23/01.html#2
によれば、APOPは、サーバから送られてきたチャレンジ文字列と、利用者が保持しているパスワードを合わせて、そのMD5を求めてサーバに送り返すんですよね。
盗聴者はチャレンジ文字列と結果のMD5は盗聴可能です。
パスワードそのものがわからないとしても、チャレンジ文字列とあわせた時に、正規のものと同じMD5を生成できる任意の文字列が作れれば、なりすましが可能になります。
このためには、「任意のハッシュ値をもつデータを作成すること」が必要なわけですが…という流れ。
2007/04/20 11:32 | シャノン

# re: APOP の脆弱性

>このためには、「任意のハッシュ値をもつデータを作成すること」が必要なわけですが…という流れ。

はい。だからこれが「同じハッシュ値を持つ2つのデータを作成すること」とどう違うのかと思いまして。


>パスワードそのものがわからないとしても、チャレンジ文字列とあわせた時に、正規のものと同じMD5を生成できる任意の文字列が作れれば、なりすましが可能になります。

それが、「MD5 はブルートフォースしなくてもコリジョンが容易く出る事は周知の事実」という事では?

「任意のハッシュ値を持つ1つのデータを作成すること」だと、チャレンジ文字列とハッシュ値からパスワードを割り出せると読み取れますが、さすがにそれはないですよね。
2007/04/20 11:49 | 囚人

# re: APOP の脆弱性

http://ja.wikipedia.org/wiki/MD5#.E3.83.8F.E3.83.83.E3.82.B7.E3.83.A5.E3.81.AE.E8.A1.9D.E7.AA.81.E8.80.90.E6.80.A7.E3.81.AB.E3.81.A4.E3.81.84.E3.81.A6

に書いてあることなんですけど。

> MD5のハッシュ値については、パソコンレベルで、数10分程度で、同一ハッシュ値の非ユニークなデータ列を生成できる実装が広まっている。

は、「同一のハッシュ値を持つ2つのデータを生成できる。ただし、そのハッシュ値が何かはわからない」ということで、

> 任意に与えられたハッシュ値に対して、(何らかの別の)データを生成する実装が広まっているわけではない

というのは、「狙ったハッシュ値を持つデータを生成できる」ということだと思います。
2007/04/20 12:02 | シャノン

# re: APOP の脆弱性

あ、そういう意味でしたか。失礼しました。

で、今回の脆弱性というのは、その狙ったハッシュ値を出せるという意味なのでしょうか?だとしたら MD5 は完全に使い物ならんという話になりますが…。

よくわかりませんが、
http://www.ipa.go.jp/security/vuln/200704_APOP.html
によると、パスワードそのものを取得できると読めますが…。
2007/04/20 12:41 | 囚人

# re: APOP の脆弱性

> 「任意のハッシュ値を持つ1つのデータを作成すること」だと、チャレンジ文字列とハッシュ値からパスワードを割り出せると読み取れますが、さすがにそれはないですよね。
2つ目のPDFの資料を見る限りでは、31文字までパスワードを復元できたよって書かれてますね。
ところで、最初のPDFではマンインザミドル攻撃を行っている最中になりすましだけではなく、パスワードの内の3文字まで復元できますと書かれている(2つ目はその拡張版っぽい)ので、マンインザミドル攻撃を行うことが前提なのかな?
2007/04/20 12:41 | がんふぃーるど

# re: APOP の脆弱性

>2つ目のPDFの資料を見る限りでは、31文字までパスワードを復元できたよって書かれてますね。

もしや、ハッシュ前のソースの一部(APOP の場合はチャレンジ文字列)が分かっていれば、狙ったのハッシュ値を出せるという意味なのでしょうか。で、元のパスワードが分かると。
2007/04/20 13:01 | 囚人

# re: APOP の脆弱性

> APOP方式にはパスワードが漏えいする脆弱性があるというものです。

だから、確かに「パスワードと同じハッシュを持つ文字列」ではなく「パスワードそのもの」ですね。
ということは、コリジョンではなく、「そもそもMD5は一方向関数ではなかった」という話になってくるわけですが…えぇ!?
#PDFは読んでねぇっす。
#POP3Sを使っても、SMTPSを使わなきゃ根本的対策にならねぇし。
2007/04/20 13:33 | シャノン

# re: APOP の脆弱性

チャレンジとパスワードを混ぜるやり方が不味いんでないですか?
2007/04/20 16:45 | なちゃ

# re: APOP の脆弱性

てゆーか、チャレンジの後にパスワードをくっつけるだけなんでしょ?
それがまずそうな気は確かにする。
2007/04/20 16:46 | シャノン

# re: APOP の脆弱性

これって他のMD5ハッシュを使用したチャレンジレスポンス型のプロトコルに影響があるんですかね?
最初のPDFでは「APOPみたいなチャレンジレスポンス型~」って題名ですが、
二つ目のPDFでは「APOPのパスワード~」って題名に代わってるし、
APOP特有のプロトコルに問題があるのであればまだいいですが…

あとはNTLM認証でマンインザミドル対策として使えるSMB署名みたいなものが
こういった脆弱性に対して有効かどうかも知りたいのぅ。
2007/04/20 19:08 | がんふぃーるど

# re: APOP の脆弱性

結局、元の情報の一部が分かる方式と MD5 の甘さが合わさって不味いってことかな?
2007/04/21 1:13 | 囚人

コメントの投稿

タイトル
名前
URL
コメント