Исследование устойчивости сетевого протокола Botikkey к подбору пароля доступа методом прямого перебора
Автор: Кузнецов Антон Александрович
Журнал: Программные системы: теория и приложения @programmnye-sistemy
Рубрика: Искусственный интеллект, интеллектуальные системы, нейронные сети
Статья в выпуске: 1 (24) т.6, 2015 года.
Бесплатный доступ
В работе приведено исследование устойчивости к различного рода атакам сетевого протокола BotikKey, который используется в системе телекоммуникаций «Ботик» г. Переславля-Залесского для аутентификации абонентских подключений. Протокол разработан в рамках подхода Ботик-технологий, согласно которому все программно-аппаратное обеспечение сети «Ботик» является либо свободнораспространяемым, либо разработано собственными усилиями компании-провайдера. В работе представлено назначение протокола, понятие пароля, ключа доступа, региона доступа, и схема выполнения сетевых обменов между клиентом и сервером BotikKey. Перечислены уязвимости протокола BotikKey: подбор ключа доступа методом прямого перебора на параллельных вычислительных системах, либо на «облачных» сервисах, подбор BotikKey-пароля с использованием радужных таблиц для функции хеширования MD5, SSL-атака на пользователей протокола с целью подбора пароля доступа к сети Интернет, описание последствий кражи пароля из файловой системы. Даны рекомендации провайдеру услуг связи системы телекоммуникаций «Ботик» по отказу от системы BotikKey, либо переходу на более актуальные средства аутентификации абонентских подключений.
Безопасная аутентификация абонентов, доступ к сети, протокол botikkey, прямой перебор пароля., радужные таблицы
Короткий адрес: https://sciup.org/14336135
IDR: 14336135 | УДК: 519.682.3
Psta.psiras.ru/
In this paper, the study of the resistance to various attacks of the BotikKey network protocol, which is used in the telecommunications system "Botik" in Pereslavl-Zalessky for authentication of subscriber connections, is given. The protocol was developed within the framework of the Botik-technologies approach, according to which all hardware and software of the Botik network is either freely distributed or developed by the provider's own efforts. The paper presents the purpose of the protocol, the concept of the password, the access key, the access region, and the scheme for executing network exchanges between the client and the BotikKey server. The vulnerabilities of the BotikKey protocol are listed: the choice of the access key by the method of direct enumeration on parallel computing systems, or on cloud services, the selection of the BotikKey password using rainbow tables for the MD5 hash function, the SSL attack on the protocol users in order to select the password for accessing the Internet , a description of the consequences of stealing the password from the file system. Recommendations are given to the provider of communication services of the telecommunications system "Botik" on the rejection of the BotikKey system, or to the transition to more actual means of authenticating subscriber connections.
Список литературы Исследование устойчивости сетевого протокола Botikkey к подбору пароля доступа методом прямого перебора
- Пакет программ BotikTools, URL http://www.botik.ru/˜botik/tools/index.ru.html.
- С. М. Абрамов, А. А. Кузнецов. BotikTools -пакет программ для Абонентов научно-образовательной сети г. Переславля-Залесского//Международная конференция "Программные системы: теория и приложения". Т. 1 (Переславль-Залесский, октябрь 2006), Наука. Физматлит, М., 2006. С. 135-154.
- А. А. Кузнецов. Исследование криптостойкости протокола аутентификации Botikkey к компрометации уязвимостей алгоритма хеширования MD5//Программные системы: теория и приложения, Т. 6, №.1. 2015. С. 135-144, URL http://psta.psiras.ru/read/psta2015_1_135-145.pdf.
- Программа Hashcat, URL http://hashcat.net/oclhashcat/.
- URL https://en.wikipedia.org/wiki/Man-in-the-middle attack.
- URL https://en.wikipedia.org/wiki/Rainbow table.
- Проект RainbowCrack, URL http://project-rainbowcrack.com/.
- SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions, URL http://csrc.nist.gov/publications/drafts/fips202/fips202 draft.pdf.
