Кот Муций (cat_mucius) wrote,
Кот Муций
cat_mucius

  • Music:
Новости хакинга: какие-то добры молодцы поломали схему аутентикации MS-CHAPv2 вдребезги и пополам. И более того, тут же учредили платный сетевой сервис по взлому. Деловые ребята.

Очень интересное и внятное описание крэка. Схема MS-CHAPv2, кстати, и вправду какая-то удивительно несуразная. Хотелось бы знать, какой логикой руководились её создатели. Ну зачем там вообще симметричный DES, спрашивается?

Одно только не понимаю: почему авторы статьи так уверены, что из факта взлома следует, что протокол PPTP нужно немедленно выбросить на свалку истории. Вообще-то оный PPTP поддерживает много разных схем, включая клиентские сертификаты - сам когда-то настраивал развлечения ради. Да и PEAP-MS-CHAPv2 тоже, насколько я понимаю, вполне ещё сгодиться может.

Update: ага, понимаю. EAP и PEAP действительно облегчают проблему, но беда в том, что и сама схема шифрования MPPE, которой пользуется PPTP, небезопасна. Использование ассиметричных ключей на фазе аутентикации MPPE не отменяет.

P.S. Приснилось мне давеча красивое женское имя: Глюся. Женская форма от "глюк". Сейчас погуглил и обнаружил: оно вполне-таки существует.
Tags: computing, security
Subscribe

  • Разное сетевое

    У Микрософта нашли очередную дыру, и не абы где, а в святая святых, в домен контроллере. В общем, патчим, товарищи, не ленимся. Там, похоже,…

  • (no subject)

    Внезапно пригодился генератор ругательств шекспировской эпохи, который когда-то доставленный el_d в Удел. Я на него перенаправляю незаконные…

  • (no subject)

    Задумался вот. Допустим, пишем мы вебсайт, к которому есть такое интересное требование - non-repudiation. То есть если юзер выполняет на нём некое…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 2 comments