APOPのぜい弱性で見えてきたMD5の「ご臨終」
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
APOPにパスワードが漏れる脆弱性
独立行政法人の情報処理推進機構(IPA)は4月19日、メール受信の認証法式の1つ「APOP」に、パスワードが漏えいする脆弱性があるとして注意を呼び掛けた。プロトコル上の問題であり、現時点では「根本的な対策方法はない」といい、SSLを使う回避方法を推奨している。 APOPはパスワード漏えいを防止するために考案されたメール受信用プロトコル。だが、APOPが使っているハッシュ関数「MD5」の問題が元となり、APOPにもパスワードが漏えいする弱点が見つかったという。 メール受信用パスワードをSSHやWebサイトのログインにも利用している場合、この弱点からパスワードが漏えいすると不正ログインに悪用される可能性もある。 現時点での回避方法として、POP over SSLやWebメールを使うなど、SSLによる暗号化通信を利用することを挙げている。またこうした回避方法がとれない場合は、メールパスワードを他
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
APOPにパスワード漏洩の脆弱性、代替手段を推奨
