MS-CHAP

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 31.10.2020 tarkistetusta versiosta . vahvistus vaatii 1 muokkauksen .

MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol ) on protokolla, jolla todennetaan palvelimen ja asiakkaan väliset yhteydet välittämättä viimeksi mainitun salasanaa haaste-vastausmekanismin avulla . MS- CHAP on CHAP -protokollan toteutus, joka tarjoaa mekanismin todennusvirhesanomien palauttamiseen ja mahdollisuuden vaihtaa käyttäjän salasanaa. [1] [2] Lisäksi MS-CHAP tarjoaa salausavainten luomisen MPPE- protokollalle , jota käytetään yhdessä Microsoft PPTP :n kanssa [2] [3] .

Historia

MS-CHAP on versio CHAP-protokollasta, jonka Microsoft on kehittänyt vuonna 1997 Windows 3.1 :lle ja Windows 95 :lle . Sitten MS-CHAP nimettiin uudelleen MS-CHAPv1:ksi ja korvattiin MS-CHAPv2:lla protokollan tietoturvavirheiden vuoksi, joista suurin oli, että asiakas lähetti vastauksen, joka sisälsi kaksi arvoa: "LAN Manager Challenge Responce" ja "NT Challenge Responce", joka tehtiin ylläpitämään palvelimelle tallennettuja käyttäjätilejä, jotka on luotu ennen Windows NT:n tiivisteen tuloa ja joita ei ole vielä päivitetty. [1] Molemmat arvot laskettiin käyttämällä samaa mekanismia, mutta käyttämällä eri hajautusarvoja: LAN Manager ja NT LAN Manager , joissa ensimmäinen tiiviste oli huomattavasti heikompi kuin toinen eikä tarjonnut riittävää suojaustasoa. MS-CHAPv2 esiteltiin vuonna 1998 Windows 98 :n ja Windows NT 4.0 SP4:n julkaisun myötä. Vuonna 1999 Bruce Schneier , David Wagner ja Peter Zatko julkaisivat tietoturvatutkimuksen MS-CHAPv2-protokollasta [3] , jossa tunnistettiin protokollan haavoittuvuudet ja hyökkäysmenetelmät. Microsoft poisti MS-CHAPv1-protokollan käytöstä Windows Vistassa vuonna 2007. [4] Vuodesta 2012 lähtien Microsoft on varoittanut, että PPTP- ja MS-CHAPv2-protokollien yhdistelmän käyttäminen VPN :n ensisijaisena todennusmekanismina on turvatonta, ja suosittelee PEAP -MS-CHAPv2 -todennusmekanismin tai L2TP- , IKEv2- , SSTP - VPN-tunneleiden käyttöä. MS-CHAPv2- tai EAP -MS-CHAPv2 -protokollien yhteydessä. [5]

MS-CHAP v1

MS-CHAPv1 on CHAP : n kaltainen todennusmekanismi , mutta siinä on tärkeä ero: CHAPissa palvelimen on tallennettava asiakkaan salasana palautuvasti salatussa muodossa, jonka salaus puretaan aina, kun asiakas todentaa, kun taas MS-CHAP v1:ssä palvelin tarvitsee vain MD4 :n tälle -salasanahajautusmuodolle. [6]

MS-CHAPv1-mekanismi koostuu seuraavista vaiheista [6] [3] :

Asiakas lähettää sisäänkirjautumispyynnön palvelimelle.
Palvelin vastaa 8-tavuisella satunnaisella vastauksella (haaste).
Asiakas käyttää salasanansa LAN Manager -tiivistettä , lisää viisi nollatavua 16-tavuiseen tulokseen ja jakaa tuloksena olevan 21-tavuisen merkkijonon kolmeen 7-tavuiseen osaan saadakseen kolme avainta DES:lle. Jokaista näistä avaimista käytetään salaamaan palvelimen lähettämä haaste. Kaikki kolme tuloksena olevaa salauslohkoa yhdistetään 24-tavuiseksi LMChallengeResponseksi. Asiakas luo myös toisen 24-tavuisen NTChallengeResponsen käyttämällä Windows NT -tiivistettä ja samaa menettelyä. Sitten sekä LMChallengeResponse- että NTChallengeResponse-arvot sekä 1-tavuinen Use NTChallengeResponse -lippu lähetetään palvelimelle.
Palvelin käyttää tietokantaan tallennetun asiakkaan salasanan tiivistettä purkaakseen vastaanotetun vastauksen. Jos salatut lohkot vastaavat haastearvoa, todennus suoritetaan ja asiakkaalle lähetetään onnistumispaketti.

MS-CHAP v2

MS-CHAP v2 korjaa joitain MS-CHAP v1:n puutteita, kuten seuraavassa taulukossa näkyy. [7]

MS-CHAP-protokollan version 1 ongelma	MS-CHAP-protokollan versio 2 ratkaisu
LAN Manager -vastauksen salaus, jota käytetään taaksepäin yhteensopivuuteen vanhempien Microsoftin etäkäyttöasiakkaiden kanssa, on kryptografisesti haavoittuvainen.	MS-CHAP v2 ei enää salli salattuja LAN Manager -vastauksia, koska LAN Managerin tiiviste on paljon heikompi tiivistetoiminto ja se voidaan murtaa ja käyttää sitten Windows NT -tiivisteen murtamiseen. Siten Microsoft on tehnyt hajota ja hallitse -hyökkäyksen mahdottomaksi poistamalla LAN Managerin tiivisteen MS-CHAPv2:sta [3] .
LAN Managerin salasanan muutoksen salaus on kryptografisesti haavoittuvainen.	MS-CHAP v2 ei enää salli salatun LAN Managerin salasanan vaihtamista.
Vain yksisuuntainen todennus on mahdollista. Etäkäyttöasiakas ei voi tarkistaa, muodostaako se yhteyden organisaationsa etäkäyttöpalvelimeen vai naamioituneeseen palvelimeen.	MS-CHAP v2 tarjoaa kaksisuuntaisen todennuksen, joka tunnetaan myös nimellä keskinäinen todennus. Etäkäyttöasiakas saa vahvistuksen, että etäkäyttöpalvelimella, johon se yrittää muodostaa yhteyden, on pääsy käyttäjän salasanaan.
40-bittistä salausta käytettäessä salausavain perustuu käyttäjän salasanaan. Aina kun käyttäjä muodostaa yhteyden samalla salasanalla, luodaan sama salausavain.	MS-CHAP v2:ssa salausavain perustuu aina käyttäjän salasanaan ja mielivaltaiseen kyselymerkkijonoon. Joka kerta kun käyttäjä muodostaa yhteyden samalla salasanalla, luodaan erilainen salausavain.
Yhteyden kautta molempiin suuntiin lähetettävä data käyttää yhtä salausavainta.	MS-CHAP v2 -protokollaa käytettäessä tiedon vastaanottamista ja lähettämistä varten luodaan erilliset salausavaimet.

Todennusalgoritmi

MS-CHAPv2-protokollan toimintamekanismi [2] [3] :

1. Asiakas lähettää todennuspyynnön palvelimelle ja välittää nimenomaisesti sisäänkirjautumisensa.
2. Palvelin lähettää takaisin 16-tavun satunnaisen "Authenticator Challenge" -vastauksen.
3a. Asiakas luo 16-tavuisen satunnaisluvun, jota kutsutaan nimellä "Peer Authenticator Challenge".
3b. Asiakas ketjuttaa "Peer Authenticator Challengen" palvelimelta saatuun "Authenticator Challengen" ja asiakkaan "UserNameen" ja tiivistää sitten tuloksen SHA-1 :llä . Tämän tiivisteen kahdeksan ensimmäistä tavua kutsutaan "Challenge Hashiksi".
3c. Asiakkaan salasanan 16-tavuinen NT-hajautus täytetään 21 tavuksi lisäämällä viisi nollatavua. Olkoon X, Y, Z kolme peräkkäistä 7-tavuista lohkoa tästä 21-tavuisesta arvosta ja olkoon CH-arvo "Challenge Hash". 24-tavuinen CR-vastaus, nimeltään "Challenge Response", lasketaan seuraavasti: $CR=DES_{x}\left(CH\right)||DES_{y}\left(CH\right)||DES_{z}\left(CH\right)$
3d. Asiakas lähettää "Challenge Response", "Peer Authenticator Challenge" ja "UserName" palvelimelle.
4a. Palvelin, saatuaan asiakkaan vastauksen, purkaa "Haastevastauksen" salauksen ja vertaa vastaanotettua asiakkaan NT-hash-arvoa omaansa. Jos arvot täsmäävät, asiakas todennetaan. Tämän jälkeen palvelin tiivistää salasanan 16-tavuisen NT-tiivisteen saadakseen salasanan tiivisteen. (Palvelin tallentaa asiakkaiden salasanan, joka on tiivistetty MD4:llä; tämä on salasanan NT-hajautus)
4b. Palvelin ketjuttaa salasanan tiivisteen, 24-tavuisen "Challenge Response"- ja merkkijonon "Magic server to client vakio" ja sitten tiivistää tuloksen käyttämällä SHA-1:tä.
4c. Palvelin ketjuttaa vaiheen (4b) 20-tavuisen SHA-1- ulostulon , asiakkaan luoman "Peer Authenticator Challengen" ja "Pad, jotta se tekee useamman kuin yhden iteroinnin" -merkkijonon ensimmäiset 8 tavua, ja sitten tiivistää. tulos SHA-1:llä.
4d. Vaiheessa vastaanotetut 20 tavua ovat "Authenticator Response" ja lähetetään asiakkaalle Success-paketissa.
5. Asiakas laskee myös "Authenticator-vastauksen" ja vertaa sen palvelimelta saatuun "Authenticator-vastaukseen". Jos arvot täsmäävät, palvelin todennetaan ja asiakas lähettää palvelimelle Success-paketin.

Avaimien hankkiminen MPPE:lle

MS-CHAPv2 on Microsoftin PPTP-protokollan todennusprotokolla, jonka salausprotokollana toimii MPPE . MPPE vaatii MS-CHAPv2-todennusprosessin luomien 40- tai 128-bittisten salausavaimien käyttöä.

MPPE-avainten johtaminen MS-CHAPv2-tunnistetiedoista toimii näin [3] :

16-tavuinen NT-salasanan hajautus, 24-tavuinen "Challenge Response" MSCHAPv2-keskuksesta ja 27-tavuinen "This is the MPPE Master Key" -merkkijono tiivistetään käyttämällä SHA-1: tä. Tulos katkaistaan sitten 16-tavuiseksi pääavaimeksi.
Pääavain muunnetaan deterministisen prosessin avulla istuntoavaimien pariksi.

40-bittisille istuntoavaimille kohta (2) toimii seuraavasti:

Käyttämällä SHA-1 :tä, pääavainta, 40 tavua 0x00, 84-tavuista "maagista" vakiota ja 40 tavua hajautetaan 0xF2. Tulos katkaistaan 8 tavuksi.
Ylempi 24 bittiä on asetettu arvoon 0xD1269E, mikä johtaa 40-bittiseen avaimeen (24-bittisellä etuliitteellä, joten itse asiassa MPPE:ssä käytetty RC4 saa 64-bittisen avaimen)

128-bittisille istuntoavaimille prosessi kohdassa (2) on seuraava:

Käyttämällä SHA-1 :tä, pääavainta, 40 tavua 0x00, 84-tavuista "maagista" vakiota ja 40 tavua hajautetaan 0xF2. Tulos katkaistaan 16 tavuksi.

"Magic"-vakiot ovat erilaisia riippuen siitä, mihin suuntaan avainta käytetään - salatakseen liikennettä asiakkaalta palvelimelle tai palvelimelta asiakkaalle.

Pakettimuoto

Koodi-kenttä, jonka koko on 1 tavu, tunnistaa paketin tyypin [8] :
1. haaste
2. Vastaus
3. menestys
4. Epäonnistuminen

1-tavuista Tunniste-kenttää käytetään pyyntöjen ja vastausten yhdistämiseen.
Pituus-kenttä on kaksi tavua, jotka osoittavat MS-CHAP-paketin pituuden, mukaan lukien koodi, tunniste, pituus ja tiedot.
Tietokenttä koostuu nollasta tai useammasta okteista. Tietokentän muoto määräytyy Koodi-kentän perusteella.

PPP CHAP -haastepaketti [2]

Tunniste-kenttä ON vaihdettava joka kerta, kun haastepaketti lähetetään.
Value-Size - 1 tavu, joka ilmaisee Arvo-kentän pituuden.
Arvo sisältää 16-tavun "Authenticator Challengen".
Nimi-kenttä on tyhjä.

Vastauspaketti [2]

Vastauspaketilla on sama rakenne kuin haastepaketilla.

Vastauspaketin tunniste on kopioitava tämän vastauksen kutsuneen haastepaketin Tunniste-kentästä.
MS-CHAP-V2-vastauspaketin Arvo-kenttä sisältää:
- 16 tavua: "Peer Authenticator Challenge"
- 8 tavua: varattu ja sen on oltava nolla
- 24 tavua: "Haastevastaus"
- 1 tavu: ei käytetty ja sen on oltava nolla
Nimi-kenttä on merkkijono, jossa on 0–256 isot ja pienet kirjaimet ja ASCII - merkkiä, joka sisältää asiakkaan "Käyttäjänimen".

Menestyspaketti [2]

Viesti-kenttä sisältää 42-tavun vastausmerkkijonon. Viestikentän muoto:S=<auth_string> M=<message>

Arvo <auth_string> on 20-tavuinen "Authenticator Response", joka on koodattu ASCII-koodilla 40 heksadesimaalilukuna. Heksadesimaalilukujen A- F(jos on) on oltava isoilla kirjaimilla.
<message>-arvo on ihmisen luettavaa tekstiä sopivassa koodauksessa.

Vikapaketti [2]

Failure-paketilla on sama rakenne kuin Onnistumispaketilla. Muotoiltu teksti kuitenkin tallennetaan Viesti-kenttään, mikä, vastoin tavallisia CHAP-sääntöjä, vaikuttaa protokollan toimintaan. Viestikentän muoto: E=eeeeeeeeee R=r C=cccccccccccccccccccccccccccccccc V=vvvvvvvvvv M=<msg>

Merkkijono "eeeeeeeeee" on ASCII-esitys desimaalivirhekoodista (ei tarvitse olla 10 numeroa), joka vastaa yhtä seuraavista:
- 646 ERROR_RESTRICTED_LOGON_HOURS
- 647 ERROR_ACCT_DISABLED
- 648 ERROR_PASSWD_EXPIRED
- 649 ERROR_NO_DIALIN_PERMISSION
- 691 ERROR_AUTHENTICATION_FAILURE
- 709 ERROR_CHANGING_PASSWORD

Arvo "r" on ASCII-lippu 1, jos uudelleenyritys on sallittu, ja 0jos ei.

Arvo "cccccccccccccccccccccccccccccc" on heksadesimaalikutsuarvon ASCII-esitys. Tämän kentän on oltava läsnä ja sen on oltava täsmälleen 32 tavua pitkä.
Arvo "vvvvvvvvvv" on ASCII-esitys desimaalikoodiversiosta (ei tarvitse olla 10 numeroa), joka ilmaisee palvelimen tukeman salasananvaihtoprotokollan version. MS-CHAPv2:ssa tämän arvon tulee aina olla 3.
<msg>-arvo on ihmisen luettavaa tekstiä sopivalla koodauksella.

Salausanalyysi ja hyökkäykset

Tässä algoritmissa on useita ongelmia, joiden yhdistelmä voi johtaa sen onnistuneeseen murtamiseen .

"Haastevastauksen" luomisen analyysi

Sanakirjahyökkäys [ 3]

"Challenge Response" -vastauksen hankkimismenettely luo vakavan heikkouden MS-CHAP-protokolliin: sen avulla hyökkääjä voi nopeuttaa sanakirjahakua tekijällä , millä on melko vaikuttava vaikutus, kun otetaan huomioon useimpien käyttäjien salasanojen suhteellisen pieni entropia. $2^{16}$

"Authenticator Challenge", "Peer Authenticator Challenge" ja "UserName" tarjotaan selkeästi ja niitä voidaan salakuunnella, mikä tarkoittaa, että "Challenge Hash" voidaan helposti saada julkisesti saatavilla olevista tiedoista. On hyvä mahdollisuus, että salasana voidaan palauttaa, koska monet salasanat ovat sanakirjasanoja tai muuten helposti arvattavia. Ensinnäkin on huomattava, että Z:n arvo (määritetty vaiheessa (3c)) voidaan helposti palauttaa. Koska on olemassa vain mahdollisia vaihtoehtoja Z (koska Z :n kahdelle ensimmäiselle tavulle on valintoja) ja meillä on tunnettu selväteksti ("Challenge Hash")-salatekstipari (DESz("Challenge Hash")), me voi toistaa jokaisen Z-vaihtoehdon, mikä paljastaa salasanan NT-hajautusarvon kaksi viimeistä tavua. $2^{16}$ $2^{8}$

Sanakirjan toistamiseksi suoritetaan esilaskenta : jokainen mahdollinen salasana tiivistetään. Hajautustulokset lajitellaan kahden viimeisen tavun mukaan, ja sitten kun MS-CHAP-vaihto on näkyvissä ja NT-tiivisteen kaksi viimeistä tavua voidaan palauttaa (yllä olevalla menetelmällä), kaikki vastaavat merkinnät valitaan hash-luettelosta. . Tämä antaa hyökkääjälle joukon todennäköisiä salasanoja, jotka antavat halutun arvon kahdelle viimeiselle NT-hajautustavulle. Seuraavaksi jokainen näistä vaihtoehdoista tarkistetaan raa'alla voimalla: sen "Haastevastaus" lasketaan ja verrataan ylikuudeltuun arvoon.

Näin ollen yllä ehdotettu optimoitu hyökkäys on noin kertaa nopeampi kuin tavallinen sanakirjahyökkäys, jossa kaikki salasanat tarkistetaan. Se koskee sekä MS-CHAPv1:tä että MS-CHAPv2:ta. Tällainen haavoittuvuus on kuitenkin paljon tärkeämpi MS-CHAPv2:lle, koska MSCHAPv1:n tapauksessa on helpompi hyökätä LanManager-tiivistettä vastaan kuin NT-tiivistettä vastaan. $2^{16}$

Raaka voimahyökkäys DES -avaimia vastaan [9]

"Challenge Response" -generointialgoritmi on heikko lenkki, vaikka salasanat sisältävät riittävän entropian. NT-hajautus voidaan palauttaa arvaamalla kaksi tavua kolmannesta DES - avaimesta, mikä vaatii laskennan, ja kahdella raakavoimahakulla ensimmäiselle ja toiselle DES-avaimelle. Jokainen DES-avain on 56-bittinen, mutta jotta et mene yli kahden ensimmäisen avaimen vaihtoehtoja, voit käyttää sitä tosiasiaa, että molemmat DES-operaatiot salaavat saman "Challenge Hash" -hajasteen eri avaimilla. Siksi riittää, että suoritat vain salaustoiminnot: $2^{16}$ $2^{56}+2^{56}=2^{57}$ $2^{56}$

desKeyX = nolla ; desKeyY = nolla ; for ( pitkä i = 0 ; i < 2 ^ 56 ; i ++ ) { tulos = DES ( avain [ i ] , selkeä teksti ); if ( tulos == salateksti1 ) { desKeyX = tulos ; } else if ( tulos == salateksti2 ) { desKeyY = tulos ; } }

Kun NT-tiiviste on palautettu, kaikki salatut istunnot voidaan lukea ja todennusjärjestelmä voidaan rikkoa ilman vaivaa. Tämä osoittaa, että jopa käytettäessä 128-bittisiä RC4 -avaimia MPPE:lle, MS-CHAP tarjoaa vain 56-bittistä suojausta vastaavan.

MPPE:n avainten luomisen analyysi [3]

Protokolla heikentää 40-bittisiä MPPE - avaimia asettamalla 64-bittisen RC4 - avaimen ylemmän 24 bitin arvoksi 0xD1269E. Tiedetään, että jos jollakulla on oikeus valita RC4-avaimen korkeat bitit, hän voi määrätä käyttäjälle heikon avainten luokan RC4:lle. Joten jos MS-CHAP:n kehittäjät halusivat rakentaa porsaanreiän protokollaan, he voisivat käyttää etuliitettä heikentääkseen RC4:ää.

Tilastollisissa testeissä havaittiin, että näppäimillä, jotka alkavat 0xD1269E, ensimmäinen ja toinen tavu RC4:n lähdössä saavat arvot 0x09ja 0x00todennäköisyydellä 0,0054 ja 0,0060, vastaavasti, mikä on huomattavasti suurempi kuin todennäköisyys 1 /256 = 0,0039, mikä voidaan odottaa hyvältä salaukselta.

Katso myös

Muistiinpanot

↑ 12 RFC 2433, 1998 .
↑ 1 2 3 4 5 6 7 RFC 2759, 2000 .
↑ 1 2 3 4 5 6 7 8 MS-CHAP:n krypta-analyysi, 1999 .
↑ Vanhentunut MS-CHAPv1, 2007 .
↑ Microsoft Security Tips 2012 .
↑ 12 MS- CHAP v1 .
↑ MS-CHAP v2 .
↑ PPPCHAP, 1996 .
↑ Moxie Marlinspike, 29.6.2012 .

Lähteet

MS-CHAP v1 (englanti) .

MS-CHAP v2 (englanti) .
Moxie Marlinspike. MS-CHAPv2: n murtaminen 100 %:n onnistumisprosentilla . – 29.6.2012. Arkistoitu alkuperäisestä 16. maaliskuuta 2016.
RFC 2433 . – 1998.
RFC 2759 . – 2000.
PPP Challenge Handshake Authentication Protocol (CHAP ) . – 1996.
Microsoftin PPTP-todennuslaajennusten krypta- analyysi . – 1999.
MS-CHAP version 1 todennusprotokolla on vanhentunut Windows Vistassa . – 2007.
Tietoturvatiedote (Microsoft) 2743314 . – 2012. (Venäjän kieli)
Divide and Conquer: Taattu hakkerointi MS-CHAPv2:lle