02.08 // Окончательный взлом MS-CHAP: быстрая дешифровка Microsoft VPN и WEP2

Исследователями была предложена атака против схемы аутентификации, разработанной компанией Microsoft. Эта атака делает трививальным взлом сотен сервисов, предоставляющих услуги по безопасности и анонимности, включая виртуальную частную сеть iPredator, предлагаемую пользователям Pirate Bay.

Атака, раскрытая Монти Мэрлинспайком и Дэвидом Халтоном требует в среднем 12 часов для восстановления секретного ключа iPredator и более ста других VPN-сетей и беспроводных продуктов, используемых для шифрования чувствительных данных. Эта техника в целях всеобщей демонстрации была развёрнута на сервисе Marlinspike's CloudCracker. Она использует уязвимость во второй версии технологии, называемой MS-CHAP, сокращения для протокола аутентификации вида запрос-ответ от Microsoft. Он широко используется для доступа пользователя к VPN и WPA2-сетям и внедрён во множестве операционных систем, включая Windows и Ubuntu.

"Мы надеемся, что предоставляя этот сервис в свободный доступ, мы сможем эффективно содействовать прекращению использования MS-CHAPv2 в интернете раз и навсегда", отметил в своём блоге исследователь в минувшие выходные. "Мы обнаружили, что многие популярные VPN-продукты уязвимы к множеству практичных атак деанонимизации. Уязвимости возникают от недостатка анализа безопасности в сочетании VPN, приложений и TCP/IP-стэка во всех соответствующих операционных системах".

Официальные представители Microsoft "активно изучают проблему и предпримут необходимые шаги, которые помогут защитить пользователей", как огласила компания в своём заявлении.

MS-CHAP широко используется в качестве компонента множества технологий шифрования, включая PPTP или Point to Point Tunneling Protocol, который используется во вногих VPN программах для обеспечения требований безопасности. Технология Microsoft использует криптографическую функцию MD4 для преобразования выбранных пользователями паролей в однонаправленный хэш, который разделяется на три меньших части.

Каждая часть формирует ключ шифра DES, используемый в различных операциях шифрования. Перебор каждой возможной комбинации полного MD4-хэша потребовал бы 2¹²⁸ попыток, делая такой перебор грубой силой невозможным. Но деление ключа на три части происходит так, что первые два содержат 7 байт, а третий — всего 2 байта, что делает всю схему уязвимой к тому, что криптографы называют атакой "разделяй и властвуй".

Есть всего 65535 возможных комбинаций последнего ключа, что требует всего нескольких секунд на его взлом грубой силой. Взлом первых 14 байт MD4-хэша потребовал бы в норме труднодостижимых ресурсов для атаки, но исследователи смогли придумать способ, значительно сокращающий расходы. Поскольку два оставшихся неизвестных ключа используются для шифрования одного и того же открытого текста, то алгоритм взлома может быть объединён для совмещения пространства поиска на каждой итерации. Это даёт преобразование в 2⁵⁶ возможных комбинаций, что даёт такой же уровень сложности, как и одиночное DES-шифрование.

"Поскольку третий DES ключ имеет длину всего лишь два байта, т.е. 2¹⁶ ключевого пространства, мы сразу заметили эффективность атаки "разделяй и властвуй" для подбора третьего ключа грубой силой за считанные секунды, получая последние два байта MD4-хэша", указал исследователь, "Мы отвергли попытки перебрать оставшиеся 14 байтов MD4-хэша, но смогли разделить и победить их две 7-байтовые части за 2⁵⁷ шагов".

Сервис, добавленный в CloudCracker полагается на мощное аппаратное обеспечение, поставляемое фирмой Hulton's Pico Computing. Оно использует программируемые интегральные схемы для быстрого перебора вариантов до нахождения нужного. Пользователи, которые хотят взломать чей-либо трафик, перехватываемый с VPN или WPA2 должны только перехватить единственную попытку входа и затем загрузить пакеты этого сеанса с перехваченными данными логина на онлайн-сервис. Взлом ключа займёт максимум 23 часа, в среднем же потребуется около половины суток.

Атака "разделения и победы" — это существенное улучшение атаки, впервые описанной в 1999 году Брюсом Шнайером и исследователем Mudge. Та уязвимость позволяла легко дешифровывать коммуникации, защищённые слабыми паролями. Спустя годы сервисы стали требовать от пользователей больших, случайно сгенерированных паролей. Например, VPN сервисы, предоставляемые riseup.net применяют 21-символьные пароли из 96 набора символов, номеров, цифр, заглавных и строчных букв, чтобы избегать той атаки. MS-CHAP также используется в iPredator VPN, по которому идёт обмен трафиком между The Pirate Bay и конечными пользователями, напоминает Мэрлинспайк.

"Всё что мы сделали — это дали вам 100% гарантию успеха", говорит Мэрлинспайк. "Неважно, какой пароль вы выбираете. Мы показали, что MS-CHAP никогда не был безопасным"

Другие криптографы соглашаются с важностью новой атаки.

"Если у вас есть нечто для взлома DES ключа за полдня — это всё равно что иметь мастер-ключ от любого DES-шифрования" — говорит профессор Мэтью Грин, специализирующийся в области криптографии на кафедре компьютерных наук Университета Джона Хопкинса. "С этой точки зрения любой протокол, который устроен как MS-CHAP, буден разрушен".

Мэрлинспайк призывает людей незамедлительно прекратить использование VPN и WPA2 продуктов, опирающиеся на MS-CHAP. Вместо этого следует использовать методы аутентификации, основанные на сертификатах, такие как OpenVPN, SSL VPN или определённые виды IPsec, по крайней мере пока они не задействуют совместно используемый ключ для аутентификации.

См. также: В очередной раз показана нестойкость аутентификации протокола PPPoE.

Источник: ArsTechnica