SSL/TLS Vulnerability
ちょっと前に SSL/TLS が騒がしくなったようですが、最近になって、私の周囲でもリアルに騒がしくなってきました。ついったーにも飛び火しているようで、いろいろ大変ですねぇ (他人事モードですいません)。
日 | 月 | 火 | 水 | 木 | 金 | 土 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |
ちょっと前に SSL/TLS が騒がしくなったようですが、最近になって、私の周囲でもリアルに騒がしくなってきました。ついったーにも飛び火しているようで、いろいろ大変ですねぇ (他人事モードですいません)。
このところ世間を騒がせている、MD5withRSA を用いた証明書の偽造についてまとめてみようと思います。前半のこの記事で概要を、後半のこの記事で偽造原理を説明してみます。誤りや勘違いが含まれていると思うので、その際には、是非、ご指摘下さい。
話の発端は、2008年12月27日~30日に Berlin で開催された 25th Chaos Communication Congress (25C3) において発表された次の講演です。
Alexander Sotirov, Marc Stevens, Jacob Appelbaum, Arjen Lenstra, David Molnar, Dag Arne Osvik, Benne de Weger
"MD5 considered harmful today: creating a rogue CA certificate"
内容としては、先頭部指定型衝突攻撃(ターゲット衝突攻撃)を用いることで、
が偽造できたという報告です。しかも証明書は実在する SSL サーバ証明書認証局が発行したように見せかけられ、証明書のユーザ名は任意に設定できるというのです。さらには、偽造の単なる理論を示すだけでなく、具体的な偽造証明書の例も示されているなど、非常にインパクトのある内容となっています(ただし証明書の有効期限が2004年に設定されているため、実害はないように配慮されています)。
SSL サーバ証明書が偽造できる、というのはそれはそれで問題なのですが、やはり自分で証明書を発行できるようになってしまうと言う点で 中間 CA 証明書の偽造の方が影響は大きいでしょう。(ITpro や Internet Watch の記事ではそこまで触れられていないのがちょっと不思議です。)
ではどうやった対策をしたら良いか、という話になるのですが、なかなか話が複雑なため、一言には説明しにくいのです。そこで、(せっかく内容が理解できた気がするので)偽造原理をながめてから、対策法に戻りたいと思います。
2007年11月2日に開催されるSITE研究会のプログラムが公開されました。「暗号研究グループが脆弱性を発見した場合にとるべき行動についての法的考察」という発表はおもしろそうです。タイトルと発表グループから考えると、あの事件が発端となっている点も興味を引きます。
今日は APOP 祭りだったようです。きっかけは、例の APOP の脆弱性が JVN#19445002 として登録され、それを受けて IPA から『APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について』が公開されたことでした。
それを読売新聞が『メールのパスワード暗号破った…APOP規格を解読』という記事にし、されにそれをフジテレビ系列のとくダネ!のオープニングで小倉さんが取り上げるなど、通常の脆弱性では考えられないような報道がなされたからさあ大変、話が一気に広がったようでした。
インターネット的には、
あたりで取り上げられたことで、急速に広まったようです。
それにしても大勢の方からこのブログへアクセスいただいたようで、大変にうれしく思いました。アクセスログをながめていると、結構、会社からのアクセスが多いのが個人的に面白かったです。おかげさまで、これまでのアクセス数とほぼ同数のアクセスを一日で頂戴することができました。
FSE 2007 では APOP の脆弱性の話が盛りだくさんだったようです。APOP とは Authenticated POP のことで、POP のようにパスワードを生でやりとりするのではなく、APOPサーバから送られたチャレンジ(乱数)に対し、ユーザはチャレンジとパスワードの連接のハッシュ値をサーバに送り返すことで、安全なパスワード認証を実現しています(ただしメイル本文は平文のままです)。ところが APOP で使用するハッシュ関数は MD5 に限定されているため、近年おなじみのコリジョン攻撃の被害を受けてしまっています。
FSE 2007 のメインセッションでは、Leurent が "Message Freedom in MD4 and MD5 Collisions: Application to APOP" という論文を発表しています。攻撃の手法は Man-in-the-middle 攻撃で、サーバとユーザの間にいる攻撃者が、ユーザに結論としては、MD5 のコリジョン探索攻撃を用いることで、ユーザに約200回のチャレンジを送ることで、パスワードを3文字特定することが可能だそうです。どうやって Man-in-the-middle 攻撃を実現するかという問題はありますが、なかなか現実的な話だと思います。
一方、ランプセッションでは Sasaki, Aoki, Yamamoto が "Practical Password Recovery on an MD5 Challenge/Responce such as APOP" という発表をしているのですが、これがとても興味深いことに、Leurent とほぼ同じ結果であることが主張されています(詳細はプレプリントに書かれています)。何が興味深いかというと Sasaki らは IPA の脆弱性関連情報に関する届出に従って届け出たために、論文を FSE 2007 に投稿することができなかったという点です。
ところがさらに驚くことに、これらの攻撃が拡張可能であることが、FSE 2007 のランプセッションで Sasaki, Kunihiro, Ohta によって報告されています ("Extended APOP Password Recovery Attack") 。報告によると、同様の Man-in-the-middle 攻撃によって、31文字のパスワードが特定可能となっています。研究レベルでは、パスワードが1文字でも特定可能ならば攻撃できたと表現することが多いのですが、現実的に疑問視されることが多いことも事実です。しかし31文字ともなると、現実的にも危なそうな気がしてしまいます。APOP が MD5 しか使えないのがあだとなっていますね。
@police AAECC AC Accepted Papers ACISP ACM ACNS ACSAC AES Africacrypt AISC ANTS APOP AQIS ARES ASIACCS ASIACRYPT Call for Papers Call for Presentation CANS CARDIS CCS CHES CRYPTO Cryptography and Coding (Conference) CRYPTREC CSEC CSF CSS CT-RSA DICOMO ECC (Workshop) ECRYPT Workshop ePrint ESORICS EUROCRYPT EUROPKI FAIS FC FDTC FIT FOCS FSE Fundamental Review IACR ICALP ICICS ICISC ICISS ICITS ICSS IEEE IEICE Indocrypt Inscrypt IPA IPSJ IS ISAAC ISC ISEC ISIT ISITA ISPEC IT Pro IWSEC JANT Jounal JSIAM JSSAC JWIS LNCS MD5 NHK NIST Pairing PET PKC PQCrypto Program ProvSec RFIDSec RSA Conference Japan RSA暗号 SAC SCC SCIS SCN SEC SECRYPT Security and Privacy SHA-3 SHARCS SITA STOC Submission Deadline Extended Submission Schedule TCC TRUST USENIX SECURITY WAIFI WAIS WCC WISA WISTP Workshop おすすめサイト その他 サマースクール シンポジウム セキュリティ一般 ソサイエティ大会 ハッシュ関数 ブログの記録 プレスリリース 北陸情報セキュリティ研究会 参加 大学 数学 新聞記事 日記・コラム・つぶやき 暗号フロンティア研究会 暗号商売ウォッチング 暗号解読コンテスト 本 楕円曲線暗号 気になる記事 研究集会 素因数分解 脆弱性 記事 講演会 講義・授業 資料 電子投票・電子選挙
最近のコメント