futuremix

PPTP という、VPN を実現するプロトコルがあります。[memo:6240]で知りましたが、

 PPTPは暗号化した通信といっしょに暗号鍵を平文で投げてましたよね。
  暗号のつもりだけど実際はゴミアルゴリズムである例は今でもたくさん見られます。

とありました。実際に PPTP の暗号化について調べたところ、次の文書がありました。

PPTPはもともとリモートアクセスへの応用を意識して開発された技 術だが、原理的にはもちろんLAN間接続の形態での使用も可能で、 実際 Windows NTでは “Routng and RAS Update”を組み込めば RAS のRoutingが統合されて、LAN間接属が可能になる。

PPTP における認証および暗号化の機能はRAS のものがそのまま使 われる。すなわち、暗号化を使う場合は認証は MS-CHAP、暗号アル ゴリズムは北米では128bitのRC4、国際版では40bitのRC4となる。

PPTPはクライアント環境が充実しているのが最大の利点で、 Windows NTはもちろん、Windows 95でも “Dial-Up Networking Upgrade” を組み込めば使えるし、Windows 98 では標準対応になっ ている。サーバのほうは Windows NT のみという状態であったが、 最近になって、PPTPに対応したサーバやルータなどの製品も登場し てきた。

PPTP のプロトコルの設計および実装に多数の問題点が発見され、著名な暗号専門家からは「幼児の暗号」とまで酷評を受けている。その問題点は多岐にわたり、ここで全て取り上げることはできないが、特に40bitのRC4を使った場合、暗号鍵の ランダム性が本来あるべきものよりも大幅に減じて、パスワード推測の辞書引き攻撃と同じ手法で、暗号が破られてしまう可能性が指摘されている。

「幼児の暗号」と呼ばれてしまうのは、それほど脆弱な暗号なのでしょう。これは改良されたという MS-CHAP-V2 でも同様なのでしょうかね。

追記

[memo:6242]によれば、ひどいのはプロトコルではなく実装です。だそうです。ただ、現状で安全かどうかについては明確ではありません。