Тема: Криптоанализ туннельного протокола типа точка-точка(PPTP) от Microsoft
Показать сообщение отдельно

  #3  
Старый 15.08.2006, 00:35
bobob
Участник форума
Регистрация: 02.06.2006
Сообщений: 241
Провел на форуме:
1703454

Репутация: 142
По умолчанию
7 Выводы

Реализация РРТР от Microsoft уязвима с точки зрения реализации, и обладаетсерьезными недостатками с точки зрения протокола. Протокол аутентификацииимеет известные уязвимости, на которые указывалось не только здесь, нои в группах, например, L0pht. Шифрование выполнено неверно, в данной реализациииспользуется поточный шифр с обратной связью по выходу, хотя более уместенбыл бы блоковый шифр "шифр-блок-цепочка" (CBC). Чтобы связатьслабую аутентификацию с плохим шифрованием Microsoft задал ключ шифрованиякак функцию от пароля пользователя вместо использования сильного алгоритмаобмена ключами типа Диффи-Хеллмана или ЕКЕ. Наконец, канал управления неаутентифицируется и не сильно защищен.

Мы не потратили много времени на изучение механизмов обеспечения локальныхIP-адресов клиентов и того, как Microsoft пытался и смог ли он учесть уязвимостьпредставления клиента с двумя адресами. Тем не менее, мы обнаружили проблемыс нестандартными масками подсети и внутренним трафиком туннеля, отправленногоот РРТР сервера. Разработчики, будьте внимательны!

Наконец, хочется подчеркнуть, что криптоанализ не подвергал сомнениюпротокол РРТР (?), но лишь реализацию протокола от Microsoft. Хотя Microsoftиспользует свои собственные расширения (MS-CHAP, МРРЕ, МРРС) в РРР секцииРРТР, стандарт РРТР не требует этого. Производители могут включить расширенияMicrosoft в свои продукты по соображениям совместимости, но они не обязаныограничиватьс их использованием и, наверное, реализуют более безопасныерешения. Конечно, новые расширения для корректной работы должны поддерживатьсякак клиентом, так и сервером.


В ходе экспериментов выяснилось,что некоторые клиенты Windows 95 поддерживают аутентификацию Microsoft,а некоторые - нет. Мы не смогли оценить различия или определить способы,позволяющие понять, поддерживает ли данная система Windows 95 аутентификациюMicrosoft. Если протокол не поддерживается, то пункт в диалоговом окненедоступен. Это ограничение соответствует заявлению Microsoft, что Windows95 не обеспечивает безопасность, и что те пользователи, которым она нужна,должны перейти на NT. Тем не менее, Microsoft заявлял, что Windows 95 необрабатывает хэш Windows NT, а использует хэш Lan Manager. Однако клиентыWindows 95 передают обе хэш-функции. Из нашего анализа кода Windows 95неясно, почему шифрование нельзя реализовать в клиентах Windows 95.

В документации Microsoftсказано, что длина паролей Windows NT может достигать 128 символов, и хэш-функцияWindows NT принимает пароли такой длины. Однако, диспетчер пользователейограничивает длину паролей до 14 символов. В документации MS-СНАР такжеупоминается это ограничение, которое подтвердилось в ходе экспериментов.

Известное средство хакеров,L0pthcrack, автоматизирует процесс подбора пароля по его хэш-значению.На Pentium Pro 200, L0phtcrack 2.0 может проверить файл с 200 паролямиза минуту с использованием 8 мегабaйтного словаря паролей.

Мы не исследовали ни самгенератор псевдослучайных чисел, ни его криптографическую стойкость.