今朝のとくダネ!のオープニングで、小倉さんが話していたのはちょっとだけ聞いていたんだけど、
メールのパスワード暗号破った…APOP規格を解読 : 経済ニュース : 経済・マネー : YOMIURI ONLINE(読売新聞):
読み取り不可能と言われてきた暗号化技術に穴が見つかったことで、パスワードが盗まれる恐れが出てきた。
という話が出てきたそうだ。
暗号と言っても「絶対に破られない」という保証はなくて、そのへんはdistributed.netのような暗号解析コンテストが行われていることからもわかるわけで・・・。
じゃあ、実際に「盗む」という手段を考えると、どうなんだろう?
「暗号化されたパスワードが書かれたファイルを手に入れる」か、「ネットワーク上のパケットを拾って、その中からパスワードに相当する文字列を抜き出す」ということが、まずは第一段階になるわけだが、管理がルーズだったり理由があってアップデートの出来ないサーバでない限り、パスワードファイルの入手は、そうそう簡単に出来ることではないので、この線から問題が発生するとすれば、サーバの管理者がお間抜けとしか言いようがない。(管理者自体が○○、というのは論外として。)
#ただ、おうちサーバだと、素人管理者が圧倒的多数だろうから、やられちゃうだろうなぁ〜。
#それ以前に、そういうサーバはrootkit入れられて、おしまいというパターンか・・・。
んじゃ、「ネットワーク上のパケット拾って」となると、パケット拾うための仕込みをしなくちゃいけないわけで有線部分に限って言えば、相当困難でしょう。
ただし、無線LANだと話は変わってくるでしょうね。ターゲットを固定しないということであれば、オフィス街でも何の保護もしてない無線APが見つかるという話をよく聞くし、フリーで手に入る無線LANアナライザを突っ込んだノートPCがあれば、そういったAPを使ってパケットを拾うことは、難しくないと思う。
#おいらレベルで、この程度のことは考えつくんだから、もっと頭のいい連中は違うことを考えてるかも知れない。
対策という点では、
Computer U Relax: メールのパスワード暗号破った…APOP規格を解読:
変更で問題が出るとしたら、現状動いているメールサーバーアップデートもそうだけど、クライアント側でもMD5に変わるものを使用しないといけないやね。
SSL認証に対応しているメールサーバーなり、クライアントであれば、単にSSL認証に変更してお終いって感じで終わりだろうけど、対応してないクライアントだと結構問題が出そうな気がする。
という方法以外として、sshのポートフォワーディング使う、というのもありかとは思いますが、その方法を使える人は逆に限られてくるのかなぁ〜。
まぁ、やり方は調べれば判るので、環境が整っている(sshが使える)のであれば、使わない手はないですね
あと、興味のある方は、次のリンクもどうぞ。
杜撰な研究者の日記: APOP
APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について
コメントする