APOP Broken?

IPAから本日付でAPOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起についてが出た。これについてはすでに4月10日の杜撰な研究者の日記: APOPにも紹介されている。FSE 2007(3月末)での話題で,Leurentが4月2日にBugtraq: APOP vulnerabilityとして報告している。こちらは3文字だが,IPAに報告されたほうは31文字がわかるとされている。いずれにしても攻撃者は偽のメールサーバを立てなければならない。メールソフトがバイナリのチャレンジにおかしいと気づけばとりあえずは防げる(が現状ではそうなっていない)。

メールのパスワード暗号破った…APOP規格を解読(読売)。なんかあまり的を射ていない解説。とりあえずはメールソフトはASCIIでないおかしなチャレンジをチェックするようにしないと。長期的にはAPOPは捨てよう。奥村研サーバではとっくにAPOPを切り捨てている。

[追記] スラッシュドット ジャパン | APOPにパスワード漏洩の脆弱性 でも取り上げられている。一方,最初に新聞記事を教えてくださった辰己先生は 「APOP解読」の記事に対するブロガーの反応 で別の観点から考察されている。

[追記] APOPの問題とMD5の問題をごっちゃにしてはいけない。HMAC-MD5だってある。