メール受信用プロトコル「APOP」にパスワード漏えいの恐れ--IPAが警告 - CNET Japan
情報処理推進機構(IPA)は4月19日、メール受信用の通信プロトコル「APOP」にセキュリティホールが存在すると警告した。APOPによる通信で、メールサーバ(APOPサーバ)アクセス用パスワード漏えいの可能性があるという。
APOPは、メールクライアントとサーバ間でメール受信に必要なやり取りを行うための通信プロトコル。広く利用されているメール受信プロトコルPOP3がサーバアクセス用のパスワードを平文で送るのに対し、APOPはMD5と呼ばれる方式でハッシュ化して保護する。
ただし、MD5ハッシュ関数にはハッシュ衝突(同じハッシュ値を持つ2つの異なるデータ列が発見可能なこと)の問題が存在するため、ユーザーが偽のAPOPサーバに誘導されてデータを解析されると、APOPパスワード解読の恐れがある。APOPパスワードが漏えいし、ほかのシステムでも同じパスワードを流用していると、不正ログインに悪用される危険もある。
でもこれ、Man-In-The-Middle-Attackが前提条件でしょ。その時点でセキュリティとしてはダメなわけで、今更なんじゃないかと。
「MD5のハッシュ衝突」が脆弱性って、ハッシュのデータ量と元データのデータ量の可能性からハッシュが衝突することがあるのは当然なわけで、なんじゃらほい。と思って調べたら、「衝突することがある」じゃなくて、「任意に衝突させることが出来る」なわけね。さらにハッシュから種に連結したパスワードを類推することも可能・・・と。元データ→ハッシュは可能でもハッシュ→元データは不可能になってないと困るわけで、なるほど、こりゃ脆弱性だな。
最初聞いたときは、パスワード文字列はせいぜい長くても10数文字で、ハッシュテーブルでも事前に用意しとけば何とかなるから、それでアタックしうる→脆弱性って話じゃないかとか思ってたら、違うのね。
THcompってすげーな
MD5の脆弱性とか調べてたら発見した超圧縮プログラム"THcomp"。
何ギガバイトだろうとホンの数バイト(場合によっては1バイト!)に圧縮してしまう夢か幻といっても過言ではない超圧縮能力がある。
こんなのが1989年に既に開発されてたというのが驚きだ。
Windows版はまだ無いようなので、ちと作ってみようと思う。
というわけで試作版THcompWin ver0.01(thc圧縮形式)でございます。
実験室のブラックホール
おもしろい。
comment(0)