L'autenticazione CHAP è ancora sicura?

Naviga le tue risposte
3

Supponendo l'utilizzo dell'algoritmo di hashing predefinito MD5, l'autenticazione CHAP è ancora sicura?

Apprezzo che MD5 sia considerato rotto in termini di resistenza alle collisioni, ma capisco anche che in alcuni scenari di utilizzo, MD5 è ancora tecnicamente sicuro (HMAC-MD5 per esempio).

Devo dire che apprezzo che sia quasi sempre una buona idea usare semplicemente un algoritmo che è noto per essere sicuro in tutti i casi, piuttosto che tentare di scegliere quando un algoritmo parzialmente rotto può e non può ancora essere usato in modo sicuro. Questa è più di una curiosità intellettuale.

    
posta dbr 19.06.2016 - 23:00
fonte

2 risposte

1

MD5 è rotto per quanto riguarda la creazione di collisioni. Ciò significa che è possibile costruire un messaggio M1 in modo tale da poter generare anche un messaggio M2 in modo che H (M1) = H (M2). Per questo i messaggi M1 e M2 devono essere precostruiti in un certo modo.

Quindi nel caso di CHAP M1 sarebbe il nonce | combinazione di password. Le vulnerabilità di interesse per un utente malintenzionato sono trovare la password o creare un valore hash senza conoscere la password . Sfortunatamente per l'attaccante la vulnerabilità di MD5 non perde informazioni sull'input: è ancora una funzione unidirezionale. Né consente di costruire un valore X in cui X = H (nonce | password) con solo il nonce come input.

Quindi in pratica CHAP è come (in) sicuro come prima. Vedi il post di Niklas per maggiori informazioni su problemi con lo schema. La vulnerabilità di MD5 è l'ultima delle preoccupazioni su questo schema di autenticazione.

    
risposta data 23.06.2016 - 12:33
fonte
2

Dipende da cosa intendi per "sicuro":)

CHAP:

  1. La richiesta di autenticazione del client invia il suo nome utente al server
  2. Il server risponde con un nonce
  3. Il client calcola l'hash (nonce | password) e invia al server
  4. Server verifica la password

Contro:

  1. Tutti i dati vengono trasmessi in chiaro, ovvero è possibile che un utente malintenzionato ascolti e esegua la brute-forza dell'hash offline
  2. Il server deve memorizzare la password in chiaro
risposta data 20.06.2016 - 07:14
fonte

Leggi altre domande sui tag

La convalida di Signtool fallisce quando la firma e la convalida vengono eseguite su macchine diverse Quanto è sicuro Slack per le informazioni sensibili rispetto ad altre alternative come Mattermost? [duplicare]