Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• хэшированиый пароль. Клиент передает серверу хэш-код пароля;
• аутентификация типа «запрос-ответ».
Необходимо отметить, что последний вариант аутентификации шифрует передаваемые данные с использованием 40- или 128-битных ключей, но не все ОС Windows поддерживают шифрование трафика. Так, ОС Windows NT его поддерживает, в то время как базовые версии ОС Windows 95/98 не имеют такой возможности.
Несмотря на широкое распространение данной реализации РРТР, в ней существует достаточное количество уязвимостей. Брюс Шнеер и Питер
254 Компьютерная безопасность и практическое применение криптографии
Мадж провели криптоанализ данной реализации протокола и обнаружили в ней ряд существенных уязвимостей. Их можно разделить на:
• уязвимости в реализации и применении функций хэширования паролей в ОС Windows NT;
• уязвимости протокола аутентификации (CHAP), используемого в РРТР;
• уязвимости, связанные с протоколом шифрования в одноранговых сетях (МРРЕ), используемым в РРТР;
• уязвимости реализации протокола РРТР, обусловленные некорректной реализацией логики работы самого протокола.
Уязвимости, связанные с применением хэш-функций
В ОС Windows NT применяются две однонаправленные хэш-функции -Lan Manager (с использованием алгоритма DES) и Windows NT (с использованием алгоритма MD4). Хэш-функция Lan Manager вычисляется следующим образом:
1. Пароль превращается в 14-символьную строку. Для этого можно отсекать более длинные пароли либо дополнять короткие пароли нулевыми элементами.
2. Все символы нижнего регистра заменяются символами верхнего регистра; цифры и специальные символы остаются без изменений.
3. 14-байтная строка разбивается на две 7-байтные половины.
4. Каждая половина строки используется в роли ключа DES, осуществляется шифрование фиксированной константы с помощью каждого ключа, получаются две 8-байтные строки.
5. Две строки объединяются для создания одного 16-разрядного значения хэш-функции.
Хэш-функция Windows NT вычисляется так:
1. Осуществляется преобразование пароля длиной до 14 символов с различением регистров.
2. Происходит хэширование пароля с помощью MD4 и получение 16-сим-вольного значения хэш-функции.
Причины успешного проведения словарных атак на приведенные здесь хэш-функции заключаются в следующем:
• преобразование символов верхнего регистра в нилший, что уменьшает число возможных паролей (Lan Manager);
• отсутствие индивидуальной привязки хэш-значения пароля к пользователю. Два пользователя с одинаковыми паролями будут иметь одинаковые хэш-значения (Lan Manager и Windows NT);
Защита в локальных сетях
255
• разбиение пароля на две половины и необходимость работы с каждой из них в отдельности приводит к тому, что атаку методом «грубой силы» можно провести на каждую половину (это выполнить значительно легче, нежели провести атаку на весь хэш-код в целом (Lan Manager)).
Очевидно, что хэш-функция Windows NT обладает более высокими показателями, чем хэш-функция Lan Manager. Вторая используется для совмещения с ранним версиями ОС Windows, и применять ее в сетях ОС Windows NT нет необходимости, тем не менее хэш-код Lan Manager передается совместно с хэш-кодом Windows NT в сетях ОС Windows NT. Эта качественная характеристика приводит к тому, что появляется возможность проводить атаки на более слабую хэш-функцию Lan Manager даже в случае использования хэш-функции Windows NT.
Уязвимости протокола аутентификации
Аутентификация в РРТР-протоколе очень похожа на аутентификацию в CIFS, поэтому все уязвимости, описанные для протокола аутентификации в CIFS, имеют место и при аутентификации в протоколе РРТР. Следует добавить, что применение хэш-функций в ходе аутентификации делает протокол аутентификации более уязвимым к возможным атакам, поскольку используемые хэш-функции являются уязвимыми.
Кроме того, данный протокол аутентифицирует только клиента. Атакующий злоумышленник, выполняющий подмену соединения, может тривиально замаскироваться под сервер. Если шифрование разрешено, атакующий не сможет посылать и принимать сообщения (пока не взломает шифр), однако, используя старое значение вызова, он в состоянии получить данные двух сессий, зашифрованные одним ключом.
Уязвимости протокола MPPE
Формально MPPE не может считаться полноценным протоколом, в соответствии с которым происходит шифрование пакетов РРТР (с использованием поточного шифра RC4 с 40- или 128-битным ключом). Необходимо, чтобы при включенном режиме шифрования данных шифровались только те пакеты, чьи номера протоколов лежат в диапазоне 0x0021 -OxOOfa. Типы пакетов, шифрование которых осуществляется/не осуществляется, регламентируются в RFC 1700.
В MPPE степень защиты ключа не превышает степени защиты пароля, поскольку ключи генерируются с использованием хэш-кода пароля и случайного числа, пересылаемого от сервера клиенту (только для 128-битных ключей). Большая часть паролей имеет длину существенно меньше 40 бит и раскрывается с помощью словарных атак.
256 Компьютерная безопасность и практическое применение криптографии
