使われ方の問題かも?そんなことないのかな?
APOP におけるパスワード漏えいの脆弱性に関して、このあたりからのリンクを突付いて思ったことをつらつらと書いてみようかと思います。
幾つかトラバ飛ばしているのは、脳みその薄い私には、よくわからないことも多いので、何か得られればよいなといったところです。
主な理解の元は、ここにあったこれなのですが、このあたりの記載を読んだ限りでは、
引用:
「APOP解読」の記事に対するブロガーの反応
素人向けの記事なので、MD5の例としてAPOPを持ってきたのだろうと思います。
という読売新聞の記事に対する想像は多少疑問です。
元を正せば、MD5 の衝突耐性の弱さに基づくもので、今回提示された手法が、拡張して用いられる可能性があるという意味で、MD5 を使った同様の手法のものは使い物にならないことは想像できますが、この手法は、APOP のチャレンジとパスワードを単純に繋げてMD5を施すだけという単純な仕組みに依存する部分も大きいのではないかと思っています。
MD5の衝突耐性の弱さを報道する記事ではなく、APOP でのその用いられ方を含めた脆弱性の記事だという点で、記事の具体的記載やタイトルの問題はともかく、APOP を持ってくることは妥当だと思います。
勿論、
引用:
セキュリティホール memo
というか、MD5 や SHA1 を使っているものは捨て捨て、ということですよね……。
という意見は、それらの要約関数の衝突耐性が否定されているという意味で、そういうものは使わない方がよいだろうと述べているのだと思いますので、それと同様の意味での危険性を否定するつもりはありませんが。
これらに関して気になるのは、Message Freedom in MD4 and MD5 Collisions: Application to APOP内の以下の記述。
引用:
Message Freedom in MD4 and MD5 Collisions: Application to APOP
Recommendations
o Mail User Agent: check challenge conformity to RFC.
o Users: avoid APOP if possible (eg. use CRAM-MD5).
2つ目に、CRAM-MD5 の利用が推奨されています。これが出て、すでに2週間以上経過しているわけで、現状は変わっているとも考えられますが、上記で述べたように、識者がMD5を否定されているという意味で、CRAM-MD5も用いた認証もAPOPでも用いられた手法の拡張で、同程度に(妥当な認証試行回数である程度の文字数が推測できるという意味)なんとかなってしまうのかという点が気になります。
同様に危険であるという可能性が否定できないという意味ではなく、現実的な解があるのかどうかというレベルで。もしかして、APOPに用いられた手法から、そのことはトリビアルなのでしょうか。
CRAM-MD5の否定となると、HMAC-MD5の衝突耐性の否定になるかとは思うのですが(この理解すら間違っている可能性大ですが)、その方面では、どんなことがわかっているのかなという点も気になります。これ否定されると、影響範囲かなり大きいと思うんですけど。
具体的な手法までとは言いませんので(つか、示されたところで、私にはちんぷんかんぷんだと思われます)、こんなところまで、わかっているとか、ここまでは容易に拡張できることがわかっているとか、誰か教えてくれたら、うれしいかも。厚かましい話かww
話を戻して、APOP におけるパスワード漏えいの脆弱性に関していえば、根本的な対策は、SSLといいますか経路暗号化になるのでしょうが、取り敢えずは、チャレンジのASCIIチェックって結構意味あると思うんですけど、ここでは取り上げられてないのですね。中途半端はよくないということか。
そういえば、私が、SSLを自分の管理しているPOP3やIMAP4rev1やSMTPで使えるようにしようと思ったきっかけは、Outlook Express が平文認証にしか対応してなかったからでした。あの頃は、なんで Outlook Express は、チャレンジレスポンス方式に対応してくれないのだと思ったものですが。
しかし、会社とか個人の場合、利用者にやり方を強制するのは容易なので、対応はそれほど面倒ではないのでしょうけど(予算と手間さえおしまなければ、利用するMUAを変更できますので)、一般向けプロバイダはやろうとすると大変なのかも。まあ、MITM attack が現実的ではありませんので、急ぎどうこうしなければという程のものではないという話もありますけど。
コメント 0