MD5
【IT】電子メールの暗号化技術「APOP」破られる…電通大の研究グループが発見、当局に連絡
1 :物質混入φ φ ★ :2007/04/19(木) 05:11:28
電子メールのパスワードを暗号化して送信する規格「APOP」の暗号解読方法を
電気通信大学の太田和夫教授(暗号理論)の研究グループが発見し、
経済産業省の外郭団体・情報処理推進機構(IPA)に連絡した。
読み取り不可能と言われてきた暗号化技術に穴が見つかったことで、
パスワードが盗まれる恐れが出てきた。
APOPは、メール固有のパスワードなどを「MD5」と呼ばれる特殊な関数で
別の文字列に変換する技術を使っている。
メールを使う人のパソコンから、メールが保存されているサーバーまでパスワードが
暗号化されて送られるため、途中でパスワードをすべて読み取ることは不可能とされていた。
太田教授の研究グループは暗号化のカギとなる「MD5」を逆にさかのぼり、
暗号化する前のパスワードに戻す手法を見つけた。
この技術がハッカーなどに使われると、重要なメールが読み取られる恐れがある。
日本銀行金融研究所の岩下直行・情報技術研究センター長は
「MD5は、メール以外にも会員制サイトに入る際のパスワードの暗号化など
インターネットの世界で広く使われている。
さらに強力な関数に替えるなどの処置が必要だ」と話している。
ttp://www.yomiuri.co.jp/atmoney/news/20070419i101.htm?from=main1
11 :名刺は切らしておりまして :2007/04/19(木) 05:35:22
どんな暗号も破られる、それは標準化され鍵が小さすぎるからだ。
どんな暗号も破られる、それは標準化され鍵が小さすぎるからだ。
どんな暗号も破られる、それは標準化され鍵が小さすぎるからだ。
時間と共にどれも突破されているだろう。
MD5はもうすこし持つなんて思っていただろ!
まだ大丈夫だと思っていた香具師は沢山居たはずだ、だが、でもダメポ
暗号信者は最新鍵なら破られないと勘違いしているにすぎない。
12 :名刺は切らしておりまして :2007/04/19(木) 06:08:20
ありえない。 出来たとしても、きわめて限定されたケースでしょ。
ハッシュ値は 可逆暗号じゃないのに。
この記事は、モザイクを消して、元の画像に戻せると言ってるようなもの。
13 :名刺は切らしておりまして :2007/04/19(木) 06:14:26
MD5が脆弱なのはすでに有名なのだが。
15 :名刺は切らしておりまして :2007/04/19(木) 06:24:19
ちょwwwwww メールもMD5だったのかwwwwwww
PCのスペックもあがってきたんだからもうちょっと難しい暗号使えよwwwwwwww
俺でも1日くらい時間与えてくれたら紙と鉛筆があれば解けそうな暗号じゃんwwwwww
18 :名刺は切らしておりまして :2007/04/19(木) 06:38:50
>>15 メール受信にAPOP使ってる人なんて稀。
大多数は平文でパスワード垂れ流してる。 ftpもだけど。
19 :名刺は切らしておりまして :2007/04/19(木) 06:40:15
おそらくこれのこと CVE-2007-1558
ttp://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1558
ttp://www.securityfocus.com/archive/1/464477/30/0/threaded
だと思うんだけど。
通信路にいる悪者がMD5のコリジョンを利用して特殊なメッセージIDをユーザに渡すことで、
パスワード先頭の一文字がある文字かそうでないかを判定できる
(たぶん1回の判定にはユーザの認証を2回中継攻撃する必要あり)。
一文字わかれば次はその次の文字。として現実的にも3文字くらいはわかる。
普通メールアカウントのパスワードは8文字以内が多いので、残り5文字なら総当たりも容易。
という話らしい。
予備知識1: MD5はデータからそれとは一見全く無関係な数値を得る関数で、
その数値から元データは推測できない(ということになっている)。
ただし最近の研究でコリジョンを発生させる(同じ値が得られるデータの組を得る)方法が
かなり発見されてきた。
ただし読売の記事が書いているような、任意の値から元データを自由に作り出す方法までは
発見されていないし、今回のもそういうのとは違う筈。
だってそうだったらAPOPなんて書かないし世界中が大騒ぎさ。
予備知識2: APOPではメールサーバからユーザにメッセージIDを提示し、
それにパスワードをつなげたものをMD5した値を合言葉として使う。
パスワードそのものは流さないので、そのため通信路に悪者がいても
パスワードがバレる心配はないとされてきた。
またサーバは毎回違うメッセージIDを提示するので、当然合言葉も毎回変わる。
だから合言葉を盗み見てもユーザのふりをしてメールサーバにログインすることはできない。
まあメールサーバでSSL使えるなら使っとけってこった。
使えないプロバイダだったらなんで使えねーんだゴルァしよう。
20 :名刺は切らしておりまして :2007/04/19(木) 06:55:17 id:pQkUVb8G
正直、MAN IN THE MIDDLE で、さらにこんなことするよりも、
トロイの木馬仕掛けてメーラーからかすめとるほうがラクチン。
あるいは、MAN in the Middleで、平文のメールをキャプチャするほうがラクチン。
で、スパイに狙われるような人なら、
over the Internetで APOPでメールを読むなんてことはしないだろ。
21 :名刺は切らしておりまして :2007/04/19(木) 07:00:42
んで実際の判定方法だが、
予備知識3: まずMD5は決まった長さのブロックごとに計算する。
そこで、データが{A,B,C}という3つのブロックから成るとする。
ところが実はAはMD5が衝突する既知のブロックの組(A,A')の一つだった!
その場合、{A,B,C}と{A',B,C}のMD5は同じになってしまう。
準備:
攻撃1: ユーザがメールサーバに接続する通信に介入。サーバが返す
メッセージIDの代わりに、
ユーザはこれに自分のパスワードをくっつけてMD5を計算して返してしまう。
攻撃2: 再びユーザがメールサーバに接続する通信に介入。
今度は
ユーザは今度もMD5を計算して返してしまう。
さあお立ち合い。 パスワード先頭の文字がもしもxだったら、
その場合2回のMD5が一致する。 これをもって、パスワード先頭文字がxだと判定できる。
そしたら今度は似たようなことを、パスワード2文字目を狙ってやればよい。
24 :名刺は切らしておりまして :2007/04/19(木) 07:10:47
APOPに限らずMD5を使って同様の方式でチャレンジ・レスポンス認証しているものはダメってこと。
また、読売新聞記事中のコメントに
>メール以外にも会員制サイトに入る際のパスワードの暗号化など
とあるのはHTTPのダイジェスト認証(APOPと全く同じではないが、やはりMD5を用いた
チャレンジ・レスポンス方式)への応用の可能性を指摘しているんだろう。
25 :名刺は切らしておりまして :2007/04/19(木) 07:20:03
たとえば昔のlivedoor等のダイヤルQ2無料プロバイダなんかは、使ってるとこ多いよな。
同じIDやパスワード使ってたら、おもしろいことになるね。
27 :名刺は切らしておりまして :2007/04/19(木) 08:19:18
VoIPで使われるSIPもダイジェスト認証でMD5のハッシュによるチャレンジレスポンスだよな
やばくね?
28 :名刺は切らしておりまして :2007/04/19(木) 08:19:21
まぁ量子暗号でない限り起きうる話だな。
29 :名刺は切らしておりまして :2007/04/19(木) 08:25:19
漁師コンピューターになったらもRSA暗号も一瞬で解けるんでしょ?
30 :名刺は切らしておりまして :2007/04/19(木) 08:28:02
>>29 魚群を感知するくらいだろ
33 :名刺は切らしておりまして :2007/04/19(木) 08:51:18
昔のパソコンのパスワードの破り方聞いた時は面白かったなー。
専用のプログラムでパスワード入力して、何度もランダム数字でチャレンジして
パスワードエラーが返ってくる時間を計測。
1〜9の中で答えが一瞬遅かった数字は、判定に時間がかかったんだからそれが当たり。
その数字を先頭にして、2文字目以降をランダムチャレンジ。 これを最後まで繰り返す。
