The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен способ взлома MS-CHAPv2, по трудоёмкости идентичный подбору DES

31.07.2012 17:47

На конференции DEFCON был представлен способ существенного ускорения подбора ключа аутентификации протокола MS-CHAPv2, получившего распространение в PPTP VPN. Представленный метод позволяет одновременно подбирать все три части ключа, что сводит трудоёмкость взлома MS-CHAPv2 (PPTP + MS-CHAPv2 + MPPE) к взлому DES и позволяет на специально оптимизированном оборудовании подобрать параметры аутентификации не более чем за сутки.

В настоящее время в сети уже запущен платный сервис, который обязуется за $200 в течение суток подобрать ключ по перехваченной сниффером начальной последовательности MS-CHAPv2. Для взлома используется 4U-сервер от Pico Computing, укомплектованный 8 картами по 6 чипов Virtex-6 на каждой (всего 48 чипов), в каждом чипе реализовано по 40 fully-pipelined ядер DES, работающих на тактовой частоте 450 MHz (максимальное время подбора 2^56/(450*40*48*10^6*3600) = 23.17 часа).

  1. Главная ссылка к новости (https://www.cloudcracker.com/b...)
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/34456-crypt
Ключевые слова: crypt, hash, mschap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 18:26, 31/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин, придется пока закрыть :(
     
     
  • 2.42, Аноним (-), 14:10, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Придется совсем закрыть. Или получить интрудеров/халявщиков выстроившихся в очередь. Ну то-есть кто-нить накорябает GPU-крякер массово параллельный и через пару месяцев это будет любой пупкин на коленке крякать за два дня.
     

  • 1.9, Дмитрий Ю. Карпов (?), 18:43, 31/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Первые две буквы в названии протокола как бы намекают, что надёжность его весьма сомнительна. ;)
     
     
  • 2.10, Антон (??), 19:30, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +17 +/
    MS-законодатель стандартов для не исправляемых уязвимостей
     
     
  • 3.34, Инфа (?), 09:07, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >MS-законодатель стандартов для не исправляемых уязвимостей

    Протокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается EAP-TLS.

    MSCHAPv2 впервые был представлен в Windows95, на тот момент криптостойкость была достаточной.

     
     
  • 4.43, Аноним (-), 14:11, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Протокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается EAP-TLS.

    Дешевые отмазки.

    > MSCHAPv2 впервые был представлен в Windows95, на тот момент криптостойкость была достаточной.

    Беспардонная ложь: те кто в здравом уме - сразу берут такой запас по длине ключа что даже квантовые компьютеры не взломают. Потому что тупо не хватит энергии во всей вселенной.

     
     
  • 5.51, Инфа (?), 14:51, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Протокол PPTP разработан Cisco, помимо PAP,CHAP,MSCHAP,MSCHAPv2 поддерживается EAP-TLS.
    > Дешевые отмазки.

    Факты. Только факты. И ничего кроме фактов.

    >> MSCHAPv2 впервые был представлен в Windows95, на тот момент криптостойкость была достаточной.
    > Беспардонная ложь: те кто в здравом уме - сразу берут такой запас
    > по длине ключа что даже квантовые компьютеры не взломают. Потому что
    > тупо не хватит энергии во всей вселенной.

    Ты просто не в курсе, вся энергия вселенной находится в 25Вт паяльнике за $5, гарантированный результат за время менее одной минуты, длина ключа и алгоритм не имеет значения.  Инфа 100%.

     
  • 2.30, Аноним (-), 23:18, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что не мешает его применять чуть менее чем всем российским провайдерам.
     
     
  • 3.31, анонимвввв (?), 00:46, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что не мешает его применять чуть менее чем всем российским провайдерам.

    это потому, что он по умолчанию в винде, а не потому, что это что-то хорошее.

     
  • 3.32, Аноним (-), 02:25, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Что не мешает его применять чуть менее чем всем российским провайдерам.

    и израильским :-(

     
  • 3.44, Аноним (-), 14:12, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Что не мешает его применять чуть менее чем всем российским провайдерам.

    Теперь халявщиков станет больше :).

     
  • 2.36, Клыкастый2 (?), 10:24, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    продержался долгонько
     

  • 1.13, livelace (?), 20:25, 31/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кроме chap есть и md5
     
  • 1.14, Анонище (?), 20:52, 31/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Называть PPTP VPN'ом это все мягко говоря перебор.
     
     
  • 2.16, saNdro (?), 21:07, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну почему же? К примеру VPN-ы в MPLS вообще не шифруются. От этого виртуальная частная сеть не перестаёт быть таковой. )))
     
     
  • 3.24, Анонище (?), 22:00, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это если в "частная" не вкладывать те проблемы, которые решает ipsec. Прото VPN он очень разный, а стоит его где-то применить, так сразу многие думают, что это безопасно).
     
     
  • 4.35, Инфа (?), 09:20, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну это если в "частная" не вкладывать те проблемы, которые решает ipsec.

    И какие же проблемы решает ipsec, которые не решают другие VPN?

     
     
  • 5.38, Анонище (?), 10:42, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    google://"ipsec vs pptp"
     
     
  • 6.40, Инфа (?), 13:25, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >google://"ipsec vs pptp"

    Там нет ничего однозначно отвечающего на поставленный вопрос.

     
     
  • 7.56, Анонище (?), 16:44, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>google://"ipsec vs pptp"
    > Там нет ничего однозначно отвечающего на поставленный вопрос.

    остынь.

     
     
  • 8.60, Инфа (?), 09:28, 02/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Трупом стану, обязательно последую твоему совету ... текст свёрнут, показать
     
  • 2.41, Инфа (?), 13:28, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Называть PPTP VPN'ом это все мягко говоря перебор.

    PPTP это VPN, инфа 100%.

     

  • 1.26, Аноним (-), 22:40, 31/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.
    И если MS удалось разработать протокол который при полном переборе не хуже чем DES - то это очень не плохой вариант.
     
     
  • 2.28, Аноним (-), 22:50, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    напомнить до какого года был стандартом?
     
     
  • 3.49, Аноним (-), 14:41, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    напомнить в каком году был разработан MS CHAP v2 ?
    как бы уже больше 20 лет назад.
     
  • 2.46, Аноним (-), 14:14, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.

    При том все криптоаналитики уже на момент его приема дружно орали что ключ в 56 битов - фуфло. Ну а очухались когда всякие студенты стали чуть ли не на коленке его массово крякать. Ибо 56 битов можно и просто перебрать.

     
     
  • 3.52, Аноним (-), 14:58, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.
    > При том все криптоаналитики уже на момент его приема дружно орали что
    > ключ в 56 битов - фуфло. Ну а очухались когда всякие
    > студенты стали чуть ли не на коленке его массово крякать. Ибо
    > 56 битов можно и просто перебрать.

    анонимы такие анонимы... напомнить что там 2 ключевых элемента? и блок подстановок - он ровно так же является элементом ключа..

     
     
  • 4.54, Инфа (?), 15:31, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Для "аналитиков" - напомним что DES был вообщем-то стандартом в США.
    >> При том все криптоаналитики уже на момент его приема дружно орали что
    >> ключ в 56 битов - фуфло. Ну а очухались когда всякие
    >> студенты стали чуть ли не на коленке его массово крякать. Ибо
    >> 56 битов можно и просто перебрать.
    > анонимы такие анонимы... напомнить что там 2 ключевых элемента? и блок подстановок
    > - он ровно так же является элементом ключа..

    Это Вы с ГОСТом перепутали, в DES блоки подстановок (S-блоки) фиксированные.

     
     
  • 5.55, Аноним (-), 16:07, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    нефига не фиксированные. иначе бы в стандарте не описывалось как их надо выбирать. И не приводились примеры 2 слабых и 4 полуслабых вариантов.

    c таким же успехом можно сказать что в ГОСТ 28147 они тоже фиксированные - ведь в Р-34.11 есть пример s-box для тестовых заданий.

     
     
  • 6.61, Инфа (?), 09:35, 02/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > нефига не фиксированные. иначе бы в стандарте не описывалось как их надо
    > выбирать. И не приводились примеры 2 слабых и 4 полуслабых вариантов.

    S-блоки в DES фиксированные, зайди хотя бы в вики, они там выложены, более чем полностью.
    DES разрабатывался не только и не столько для компьютеров (начало 70-x), сколько для электромеханических устройств.

    > c таким же успехом можно сказать что в ГОСТ 28147 они тоже
    > фиксированные - ведь в Р-34.11 есть пример s-box для тестовых заданий.

    Нельзя. Потому как удачные комбинации S-блоков в ГОСТе являются коммерческой тайной.

     
     
  • 7.63, Аноним (-), 00:55, 03/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > S-блоки в DES фиксированные, зайди хотя бы в вики, они там выложены, более чем полностью.
    > DES разрабатывался не только и не столько для компьютеров (начало 70-x), сколько для
    > электромеханических устройств.

    зато в 90е была стопка публикаций как эти s-box создавать. Тогда же указывались примеры слабых s-box.

    > Нельзя. Потому как удачные комбинации S-блоков в ГОСТе являются коммерческой тайной.

    коммерческой? плиз открой страницу 8 в ГОСТ 28147 и прочитай кто должен поставлять блоки замен.
    А потом будешь говорить о коммерческой тайне. Тот же ЛанКрипто - отнюдь не свой блок замен используют.

     
  • 4.57, Аноним (-), 17:50, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > напомнить что там 2 ключевых элемента? и блок подстановок - он ровно так же является элементом ключа..

    DES реализовывался в аппаратном исполнении, а у железяки так просто ключ не сменишь

     

  • 1.27, Anonim (??), 22:42, 31/07/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Адрес сервера в бан, да и всякие recent никто не отменял. Хрен он подберет при паре попыток за минуту.
    ПС: формулу расшифруйте кто. Там заложена 1 попытка в секунду чтоль?
     
     
  • 2.29, Аноним (-), 22:56, 31/07/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Какой "адрес сервера в бан"? Подбор идет по один раз перехваченому сниффу.
    А потом одна попытка и всё...
     
  • 2.47, Аноним (-), 14:15, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Адрес сервера в бан, да и всякие recent никто не отменял.

    Озвучьте пожалуйста название компании где такие крутые криптоаналитики работают? Ну чтоб не вляпаться ненароком.

     

  • 1.33, SHRDLU (??), 08:40, 01/08/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Имхо, новость - не повод для паники.
    Про дырявость и кривость MS-CHAP известно давно. И прежде чем за сутки подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что куда более нетривиальная задача.
    В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.
     
     
  • 2.37, Клыкастый2 (?), 10:37, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В общем, использующие VPN c аутентификацией через MS-Chap могут спать (относительно) спокойно, а в перспективе можно задуматься, скажем, про l2tp+IPSec.

    openvpn/mpd  могут работать с сертификатами.


     
     
  • 3.39, SHRDLU (??), 11:43, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > openvpn/mpd  могут работать с сертификатами.

    За openvpn ничего не скажу, а mpd с каких пор научился аутентификации по сертификатам? Нет там такого...

    http://mpd.sourceforge.net/doc5/mpd29.html#29

    Mpd currently supports authentication against (tried in this order) extauth, radius, PAM, systems password database (master.passwd), OPIE and internal mpd.secret file.

    С сертификатами, применительно к vpn построенном на mpd, насколько я знаю, работает софт, ответственный за IPSec - racoon/ipsectools. И даже при таком раскладе парольную аутентификацию никто не отменяет, сертификат используется только для поднятия шифрованного туннеля IPSec.

    Ну либо самодельный скрипт сочинить, который будет как-то требовать и проверять клиентские сертификаты, но это совсем другая история, подобных примеров я лично не встречал...

     
     
  • 4.58, Forth (??), 20:36, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> openvpn/mpd  могут работать с сертификатами.
    > За openvpn ничего не скажу, а mpd с каких пор научился аутентификации
    > по сертификатам? Нет там такого...

    В radius EAP-TLS, гражданин Etaoin.

     
     
  • 5.59, SHRDLU (??), 23:33, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >>> openvpn/mpd  могут работать с сертификатами.
    >> За openvpn ничего не скажу, а mpd с каких пор научился аутентификации
    >> по сертификатам? Нет там такого...
    > В radius EAP-TLS, гражданин Etaoin.

    Надо же. Надо будет поэкспериментировать в этом направлении, для общего развития.
    Спасибо, не знал.

     
  • 2.48, Аноним (-), 14:16, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что
    > куда более нетривиальная задача.

    Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект) или вообще ничего не заметит (если настроил) да переконектится.

     
     
  • 3.53, SHRDLU (??), 15:20, 01/08/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> подобрать пароль, необходимо сначала ещё как-то перехватить необходимую информацию, что
    >> куда более нетривиальная задача.
    > Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект)
    > или вообще ничего не заметит (если настроил) да переконектится.

    А теперь более подробно.
    Сначала нужно определить, откуда и как юзер входит в сеть.
    Потом получить доступ к месту, откуда юзера можно "сшибить с линии".
    Потом посадить туда человека, способного не только "сшибить", но еще и перехватить нужную информацию (либо договориться с кем-то из имеющих туда доступ и обладающих нужной квалификацией)
    В общем, дорогой Аноним, компьютерному гению Васе из параллельного класса это не по зубам по причинам, не имеющим к IT-сфере никакого отношения, а специалист обойдется недешево, и никто не станет связываться с этим ради доступа к черной бухгалтерии какого-нибудь "ООО Рога и копыта" - проще подойти с паяльником к бухгалтеру, а более серьёзные организации имеют и более серьёзную защиту, нежели поднятый на коленке pptp.
    Повторюсь - проблема есть, и должна подвигать к уходу на более безопасные коммуникации, но появилась проблема не сегодня и нет повода экстренно заниматься эпиляцией седалищной части.


     
  • 3.62, Инфа (?), 09:51, 02/08/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да, конечно. Сшиб юзера с линии, он чертыхнется (если не настроил автореконект)
    > или вообще ничего не заметит (если настроил) да переконектится.

    Вариант: Домашнее подключение к провайдеру:

    Разрезать витую пару, обжать оба конца, воткнуть их в хаб, дополнительно туда же патч-корд, на ноутбуке запустить wireshark собрать дамп. После через переходник восстановить соединение.

    Отправить дамп в контору и заплатить 200$.
    Через сутки получить пароль. Ну или ломать самому несколько месяцев.

    Потом его нужно как-нибудь использовать, но вот не задача 100% провайдеров использующих pptp используют привязку к mac.

    Можете подменить его, но работа 2-ух устройств с одним mac-ом в сети это не работа.

    В результате затратно, эффективность в районе нуля, есть шанс спалиться и пойти по 138, 138.1, 167 УК РФ.

    Вопрос: зачем?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру