02.08 // Окончательный взлом MS-CHAP: быстрая дешифровка Microsoft VPN и WEP2


Исследователями была предложена атака против схемы аутентификации, разработанной компанией Microsoft. Эта атака делает тривиальным взлом сотен сервисов, предоставляющих услуги по безопасности и анонимности, включая виртуальную частную сеть iPredator, предлагаемую пользователям Pirate Bay.

Атака, раскрытая Монти Мэрлинспайком и Дэвидом Халтоном? требует в среднем 12 часов для восстановления секретного ключа iPredator и более ста других VPN-сетей и беспроводных продуктов, используемых для шифрования чувствительных данных. Эта техника в целях всеобщей демонстрации была развёрнута на сервисе Marlinspike's CloudCracker. Она использует уязвимость во второй версии технологии, называемой MS-CHAP, сокращения для протокола аутентификации вида запрос-ответ от Microsoft. Он широко используется для доступа пользователя к VPN и WPA2-сетям и внедрён во множестве операционных систем, включая Windows и Ubuntu Linux.

"Мы надеемся, что предоставляя этот сервис в свободный доступ, мы сможем эффективно содействовать прекращению использования MS-CHAPv2 в интернете раз и навсегда", отметил в своём блоге исследователь в минувшие выходные. "Мы обнаружили, что многие популярные VPN-продукты уязвимы к множеству практических атак деанонимизации. Уязвимости возникают от недостатка анализа безопасности в сочетании VPN, приложений и TCP/IP-стэка во всех соответствующих операционных системах".

Официальные представители Microsoft "активно изучают проблему и предпримут необходимые шаги, которые помогут защитить пользователей", как сообщила компания в своём заявлении.

MS-CHAP широко используется в качестве компонента множества технологий шифрования, включая PPTP, или Point-to-Point Tunneling Protocol, который используется во многих VPN-программах для обеспечения требований безопасности. Технология Microsoft использует криптографическую функцию MD4 для преобразования выбранных пользователями паролей в однонаправленный хэш, который разделяется на три меньших части.

Каждая часть формирует ключ шифра DES, используемый в различных операциях шифрования. Перебор каждой возможной комбинации полного MD4-хэша потребовал бы 2128 попыток, делая такой перебор грубой силой невозможным. Но деление ключа на три части происходит так, что первые два содержат 7 байт, а третий — всего 2 байта, что делает всю схему уязвимой к тому, что криптографы называют атакой "разделяй и властвуй".

Есть всего 65535 возможных комбинаций последнего ключа, что требует всего нескольких секунд на его взлом грубой силой. Взлом первых 14 байт MD4-хэша потребовал бы в норме труднодостижимых ресурсов для атаки, но исследователи смогли придумать способ, значительно сокращающий расходы. Поскольку два оставшихся неизвестных ключа используются для шифрования одного и того же открытого текста, то алгоритм взлома может быть объединён для совмещения пространства поиска на каждой итерации. Это даёт преобразование в 256 возможных комбинаций, что даёт такой же уровень сложности, как и одиночное DES-шифрование.

"Поскольку третий DES-ключ имеет длину всего лишь два байта, т.е. 216 ключевого пространства, мы сразу заметили эффективность атаки "разделяй и властвуй" для подбора третьего ключа грубой силой за считанные секунды, получая последние два байта MD4-хэша", указал исследователь. "Мы отказались от попыток перебирать оставшиеся 14 байтов MD4-хэша, но смогли разделить и победить их две 7-байтовые части за 257 шагов".

Сервис, добавленный в CloudCracker, полагается на мощное аппаратное обеспечение, поставляемое фирмой Дэвида Халтона Pico Computing. Оно использует программируемые интегральные схемы для быстрого перебора вариантов до нахождения нужного. Пользователи, которые хотят взломать чей-либо трафик, перехватываемый с VPN или WPA2, должны только перехватить единственную попытку входа и затем загрузить пакеты этого сеанса с перехваченными данными логина на онлайн-сервис. Взлом ключа займёт максимум 23 часа, в среднем же потребуется около половины суток.

Атака "разделения и победы" — это существенное улучшение атаки, впервые описанной в 1999 году Брюсом Шнайером и исследователем Mudge. Та уязвимость позволяла легко дешифровывать коммуникации, защищённые слабыми паролями. Спустя годы сервисы стали требовать от пользователей больших, случайно сгенерированных паролей. Например, VPN-сервисы, предоставляемые riseup.net, применяют 21-символьные пароли из 96 набора символов, номеров, цифр, заглавных и строчных букв, чтобы обеспечивать защиту от той атаки. MS-CHAP также используется в iPredator VPN, по которому идёт обмен трафиком между The Pirate Bay и конечными пользователями, напоминает Мэрлинспайк.

"Всё что мы сделали — это дали вам 100% гарантию успеха", говорит Мэрлинспайк. "Неважно, какой пароль вы выбираете. Мы показали, что MS-CHAP никогда не был безопасным".

Другие криптографы соглашаются с важностью новой атаки.

"Если у вас есть нечто для взлома DES-ключа за полдня — это всё равно, что иметь мастер-ключ от любого DES-шифрования", говорит профессор Мэтью Грин, специализирующийся в области криптографии на кафедре компьютерных наук Университета Джона Хопкинса. "С этой точки зрения, любой протокол, который устроен как MS-CHAP, буден разрушен".

Мэрлинспайк призывает людей незамедлительно прекратить использование продуктов VPN и WPA2, опирающихся на MS-CHAP. Вместо этого следует использовать методы аутентификации, основанные на сертификатах, такие как OpenVPN, SSL VPN или определённые виды IPsec, по крайней мере, если они не задействуют для аутентификации общий ключ.

См. также: В очередной раз показана нестойкость аутентификации протокола PPPoE[link1].

Источник: ArsTechnica[link2]

Ссылки
[link1] http://www.pgpru.com/novosti/2011/vocherednojjrazpokazananestojjkostjautentifikaciiprotokolapppoe

[link2] http://arstechnica.com/security/2012/07/broken-microsoft-sheme-exposes-traffic/