Цитата: Исследователями была предложена атака против схемы аутентификации, разработанной компанией Microsoft. Эта атака делает тривиальным взлом сотен сервисов, предоставляющих услуги по безопасности и анонимности, включая виртуальную частную сеть iPredator, предлагаемую пользователям Pirate Bay.
Атака, раскрытая Монти Мэрлинспайком и Дэвидом Халтоном? требует в среднем 12 часов для восстановления секретного ключа iPredator и более ста других VPN-сетей и беспроводных продуктов, используемых для шифрования чувствительных данных. Эта техника в целях всеобщей демонстрации была развёрнута на сервисе Marlinspike's CloudCracker. Она использует уязвимость во второй версии технологии, называемой MS-CHAP, сокращения для протокола аутентификации вида запрос-ответ от Microsoft. Он широко используется для доступа пользователя к VPN и WPA2-сетям и внедрён во множестве операционных систем, включая Windows и Ubuntu Linux.
"Мы надеемся, что предоставляя этот сервис в свободный доступ, мы сможем эффективно содействовать прекращению использования MS-CHAPv2 в интернете раз и навсегда", отметил в своём блоге исследователь в минувшие выходные. "Мы обнаружили, что многие популярные VPN-продукты уязвимы к множеству практических атак деанонимизации. Уязвимости возникают от недостатка анализа безопасности в сочетании VPN, приложений и TCP/IP-стэка во всех соответствующих операционных системах".
Официальные представители Microsoft "активно изучают проблему и предпримут необходимые шаги, которые помогут защитить пользователей", как сообщила компания в своём заявлении.
MS-CHAP широко используется в качестве компонента множества технологий шифрования, включая PPTP, или Point-to-Point Tunneling Protocol, который используется во многих VPN-программах для обеспечения требований безопасности. Технология Microsoft использует криптографическую функцию MD4 для преобразования выбранных пользователями паролей в однонаправленный хэш, который разделяется на три меньших части.
Каждая часть формирует ключ шифра DES, используемый в различных операциях шифрования. Перебор каждой возможной комбинации полного MD4-хэша потребовал бы 2128 попыток, делая такой перебор грубой силой невозможным. Но деление ключа на три части происходит так, что первые два содержат 7 байт, а третий — всего 2 байта, что делает всю схему уязвимой к тому, что криптографы называют атакой "разделяй и властвуй".
Есть всего 65535 возможных комбинаций последнего ключа, что требует всего нескольких секунд на его взлом грубой силой. Взлом первых 14 байт MD4-хэша потребовал бы в норме труднодостижимых ресурсов для атаки, но исследователи смогли придумать способ, значительно сокращающий расходы. Поскольку два оставшихся неизвестных ключа используются для шифрования одного и того же открытого текста, то алгоритм взлома может быть объединён для совмещения пространства поиска на каждой итерации. Это даёт преобразование в 256 возможных комбинаций, что даёт такой же уровень сложности, как и одиночное DES-шифрование.
"Поскольку третий DES-ключ имеет длину всего лишь два байта, т.е. 216 ключевого пространства, мы сразу заметили эффективность атаки "разделяй и властвуй" для подбора третьего ключа грубой силой за считанные секунды, получая последние два байта MD4-хэша", указал исследователь. "Мы отказались от попыток перебирать оставшиеся 14 байтов MD4-хэша, но смогли разделить и победить их две 7-байтовые части за 257 шагов".
Сервис, добавленный в CloudCracker, полагается на мощное аппаратное обеспечение, поставляемое фирмой Дэвида Халтона Pico Computing. Оно использует программируемые интегральные схемы для быстрого перебора вариантов до нахождения нужного. Пользователи, которые хотят взломать чей-либо трафик, перехватываемый с VPN или WPA2, должны только перехватить единственную попытку входа и затем загрузить пакеты этого сеанса с перехваченными данными логина на онлайн-сервис. Взлом ключа займёт максимум 23 часа, в среднем же потребуется около половины суток.
Атака "разделения и победы" — это существенное улучшение атаки, впервые описанной в 1999 году Брюсом Шнайером и исследователем Mudge. Та уязвимость позволяла легко дешифровывать коммуникации, защищённые слабыми паролями. Спустя годы сервисы стали требовать от пользователей больших, случайно сгенерированных паролей. Например, VPN-сервисы, предоставляемые riseup.net, применяют 21-символьные пароли из 96 набора символов, номеров, цифр, заглавных и строчных букв, чтобы обеспечивать защиту от той атаки. MS-CHAP также используется в iPredator VPN, по которому идёт обмен трафиком между The Pirate Bay и конечными пользователями, напоминает Мэрлинспайк.
"Всё что мы сделали — это дали вам 100% гарантию успеха", говорит Мэрлинспайк. "Неважно, какой пароль вы выбираете. Мы показали, что MS-CHAP никогда не был безопасным".
Другие криптографы соглашаются с важностью новой атаки.
"Если у вас есть нечто для взлома DES-ключа за полдня — это всё равно, что иметь мастер-ключ от любого DES-шифрования", говорит профессор Мэтью Грин, специализирующийся в области криптографии на кафедре компьютерных наук Университета Джона Хопкинса. "С этой точки зрения, любой протокол, который устроен как MS-CHAP, буден разрушен".
Мэрлинспайк призывает людей незамедлительно прекратить использование продуктов VPN и WPA2, опирающихся на MS-CHAP. Вместо этого следует использовать методы аутентификации, основанные на сертификатах, такие как OpenVPN, SSL VPN или определённые виды IPsec, по крайней мере, если они не задействуют для аутентификации общий ключ.