Vol.7 No.3 2014
45/76

研究論文:漏洩に強いパスワード認証とその応用(古原ほか)−181−Synthesiology Vol.7 No.3(2014)者は一つの短いパスワードを利用しつつ、盗聴、成りすまし、サーバーとクライアントのいずれからもの記録情報の漏えい、フィッシング詐欺等への耐性を持つ。以下の節では上述の各問題点と表1の2列目以降について説明する。1.2 パスワードの全数探索に対する脆弱性パスワードの全数探索への耐性を高める最も基本的な方法は、ランダムに選択した非常に長いパスワードを利用することにある。しかし、この方法は利便性を大幅に低下させるため実用的でない。そこで、人間が負担なく覚えられる範囲内の短いパスワードを利用しながら、全数探索への耐性を高めることを考える。これは、一見矛盾した問題のように見えるが、パスワードの全数探索が、オフライン全数探索、並列オンライン全数探索、直列オンライン全数探索に分類でき、これらの能力に差があることを理解できれば解も見えてくる。ここで、オフライン全数探索とは通信の盗聴等により得たデータを使い、サーバーに接続することなくパスワードを試す方法である。例えば通信路に乱数cとr=h(c,pw)により計算されたrが流れ、関数h()が公開でパスワードpwのみが秘密である場合、それらを盗聴した攻撃者は、パスワードの候補pw'を使ってr'=h(c,pw')を計算し、r=r'が成立するかを確認することにより、pw'が正しいパスワードであるか否かを検証できる。試せるパスワードの数は計算能力の向上に比例して年々大きくなり、サーバーの設定により制限されることはないため、非常に強力な攻撃方法となる。オフライン全数探索に対して十分な安全性を確保できる鍵の長さとして米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は2010年までは80ビット以上、2011年から2030年までは112ビット以上、2031年以降は128ビット以上の利用を推奨している[3]。これらは、ランダムに選択された英数大小文字のパスワードの長さに換算するとそれぞれ14桁、19桁、22桁に相当する。実際、これらの見積もりを踏まえ、ファイル暗号化ソフト等では20桁以上のパスワードの使用を推奨している[4]。一方、人間が負担なく記憶できるパスワードの長さは7±2桁程度[5]と言われており、もはやオフライン全数探索には耐えられない長さとなっている。これに対して、並列オンライン全数探索と直列オンライン全数探索では、サーバーと認証プロトコルを実行し、入力したパスワードが受け入れられるか否かを検証する方法である。一つのアカウントに対して一つ一つパスワードを試す方法が直列オンライン全数探索であり、それを複数のアカウントに対して並列で行うのが並列オンライン全数探索である。これらはいずれもサーバーに接続しなければパスワードを試せないため、サーバー側で一定時間内に試せるパスワードの数を制限することにより、計算量能力の向上とは無関係にパスワード全数探索リスクを抑えることができる。つまり、パスワードを扱う方式に対してどのタイプの全数探索を適用できるかにより、安全に使えるパスワードの長さが変わってくる。表1のパスワード全数探索への耐性の列は、オフライン全数探索が適用可能な場合を×、並列オンライン全数探索が適用可能な場合を△、いずれも適用不可な場合を○としている。記録情報が漏えいした場合については1.3節と1.4節で説明するが、漏えいが起きていない場合においても、「パスワードのみを使う従来のプロトコル」の場合、通信路を盗聴するだけでオフライン全数探索を適用可能であり、「PAKE」、「PKIサーバー認証+PW」の場合、誰でもパスワードを試せるため、複数のアカウントに対して並列にオンライン全数探索を掛けることができる。「PKIサーバー認証+PW+OTP」、「PKI相互認証」、「LRの場合、クライアント側のパスワード以外の認証情報を入手できなければパスワードの正しさをオンラインで確認できないため、オンライン全数探索すら適用できない。1.3 サーバー側からの情報漏えいに対する脆弱性通常、サーバーは専門の管理者により厳重に管理され、情報漏えいは起こり難いと考えられていた。しかし、ここ数年だけを見てもサーバーからの情報漏えい事件は度々起こっており、起らないと仮定する方が難しくなってきている。ここ2、3年に起きた代表的なサーバー側からの情報漏えい事件を表2[6]-[13]に示しておく。サーバー側からの情報漏えいは一度で大量の情報が漏れ、非常に多くのユーザーに悪影響を与えるという問題がある。日本ネットワークセキュリティ協会が算出した2012年上半期の一人あたり平均想定損害賠償額は5万7710円[14]となっている。情報漏えいがサーバー側で起きた場合のパスワード認証方式への影響であるが、表1において「PKIサーバー認証+PW」および「PKIサーバー認証+PW+OTP」と分類している方式では、サーバーにユーザーのパスワードそのもの、もしくはそのハッシュ値(パスワードを加工した値)が保存してある。そのため、それらの値が漏えいすれば、オフライン全数探索を適用することによりパスワードの特定が可能となる。さらに、その特定されたパスワードが他のサービスにも使い回されていた場合、漏えいを起こしていないサービスにも悪影響が出ることとなる。なお、「PKIサーバー認証+PW+OTP」と分類している方式ではワンタイムパスワードを生成するための情報もサーバー側に保持されており、この情報が漏えいすればユーザー

元のページ 

page 45

※このページを正しく表示するにはFlashPlayer10.2以上が必要です