2019年12月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
無料ブログはココログ

カテゴリー「脆弱性」の記事

SSL/TLS Vulnerability

ちょっと前に SSL/TLS が騒がしくなったようですが、最近になって、私の周囲でもリアルに騒がしくなってきました。ついったーにも飛び火しているようで、いろいろ大変ですねぇ (他人事モードですいません)。

MD5withRSA を用いた証明書の偽造(その1)

このところ世間を騒がせている、MD5withRSA を用いた証明書の偽造についてまとめてみようと思います。前半のこの記事で概要を、後半のこの記事で偽造原理を説明してみます。誤りや勘違いが含まれていると思うので、その際には、是非、ご指摘下さい。

話の発端は、2008年12月27日~30日に Berlin で開催された 25th Chaos Communication Congress (25C3) において発表された次の講演です。

Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger

"MD5 considered harmful today: creating a rogue CA certificate"

内容としては、先頭部指定型衝突攻撃(ターゲット衝突攻撃)を用いることで、

  • MD5withRSA を用いた SSL サーバ証明書
  • MD5withRSA を用いた中間 CA 証明書

が偽造できたという報告です。しかも証明書は実在する SSL サーバ証明書認証局が発行したように見せかけられ、証明書のユーザ名は任意に設定できるというのです。さらには、偽造の単なる理論を示すだけでなく、具体的な偽造証明書の例も示されているなど、非常にインパクトのある内容となっています(ただし証明書の有効期限が2004年に設定されているため、実害はないように配慮されています)。

SSL サーバ証明書が偽造できる、というのはそれはそれで問題なのですが、やはり自分で証明書を発行できるようになってしまうと言う点で 中間 CA 証明書の偽造の方が影響は大きいでしょう。(ITproInternet Watch の記事ではそこまで触れられていないのがちょっと不思議です。)

ではどうやった対策をしたら良いか、という話になるのですが、なかなか話が複雑なため、一言には説明しにくいのです。そこで、(せっかく内容が理解できた気がするので)偽造原理をながめてから、対策法に戻りたいと思います。

続きを読む "MD5withRSA を用いた証明書の偽造(その1)" »

Apollon の脆弱性

SCIS 2008 の参加手続きで利用していた Apollon脆弱性が見つかったそうです。この時期に発表されたのは偶然か否か...

脆弱性を発見したら?

2007年11月2日に開催されるSITE研究会のプログラムが公開されました。「暗号研究グループが脆弱性を発見した場合にとるべき行動についての法的考察」という発表はおもしろそうです。タイトルと発表グループから考えると、あの事件が発端となっている点も興味を引きます。

APOP 祭り

今日は APOP 祭りだったようです。きっかけは、例の APOP の脆弱性JVN#19445002 として登録され、それを受けて IPA から『APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について』が公開されたことでした。

それを読売新聞が『メールのパスワード暗号破った…APOP規格を解読』という記事にし、されにそれをフジテレビ系列のとくダネ!のオープニングで小倉さんが取り上げるなど、通常の脆弱性では考えられないような報道がなされたからさあ大変、話が一気に広がったようでした。

インターネット的には、

あたりで取り上げられたことで、急速に広まったようです。

それにしても大勢の方からこのブログへアクセスいただいたようで、大変にうれしく思いました。アクセスログをながめていると、結構、会社からのアクセスが多いのが個人的に面白かったです。おかげさまで、これまでのアクセス数とほぼ同数のアクセスを一日で頂戴することができました。

APOP

FSE 2007 では APOP の脆弱性の話が盛りだくさんだったようです。APOP とは Authenticated POP のことで、POP のようにパスワードを生でやりとりするのではなく、APOPサーバから送られたチャレンジ(乱数)に対し、ユーザはチャレンジとパスワードの連接のハッシュ値をサーバに送り返すことで、安全なパスワード認証を実現しています(ただしメイル本文は平文のままです)。ところが APOP で使用するハッシュ関数は MD5 に限定されているため、近年おなじみのコリジョン攻撃の被害を受けてしまっています。

FSE 2007メインセッションでは、Leurent が "Message Freedom in MD4 and MD5 Collisions: Application to APOP" という論文を発表しています。攻撃の手法は Man-in-the-middle 攻撃で、サーバとユーザの間にいる攻撃者が、ユーザに結論としては、MD5 のコリジョン探索攻撃を用いることで、ユーザに約200回のチャレンジを送ることで、パスワードを3文字特定することが可能だそうです。どうやって Man-in-the-middle 攻撃を実現するかという問題はありますが、なかなか現実的な話だと思います。

一方、ランプセッションでは Sasaki, Aoki, Yamamoto が "Practical Password Recovery on an MD5 Challenge/Responce such as APOP" という発表をしているのですが、これがとても興味深いことに、Leurent とほぼ同じ結果であることが主張されています(詳細はプレプリントに書かれています)。何が興味深いかというと Sasaki らは IPA の脆弱性関連情報に関する届出に従って届け出たために、論文を FSE 2007 に投稿することができなかったという点です。

ところがさらに驚くことに、これらの攻撃が拡張可能であることが、FSE 2007 のランプセッションで Sasaki, Kunihiro, Ohta によって報告されています ("Extended APOP Password Recovery Attack") 。報告によると、同様の Man-in-the-middle 攻撃によって、31文字のパスワードが特定可能となっています。研究レベルでは、パスワードが1文字でも特定可能ならば攻撃できたと表現することが多いのですが、現実的に疑問視されることが多いことも事実です。しかし31文字ともなると、現実的にも危なそうな気がしてしまいます。APOP が MD5 しか使えないのがあだとなっていますね。

リンク