9.5.1. Risks of Weak or Null Message Authentication (弱いまたは空のメッセージ認証のリスク)

9.5.1. Risks of Weak or Null Message Authentication (弱いまたは空のメッセージ認証のリスク)

弱いまたは空の認証の使用を検討するセキュリティ監査中に, メッセージ認証アルゴリズムが使用されない場合に可能な以下の攻撃を心に留めておくことが重要です。

平文を予測できない攻撃者でも, 送信者と受信者の間で送信されるメッセージをランダムな平文値に復号化されるように変更したり, ランダムな平文値に復号化される偽のパケットのストリームを受信者に送信したりすることは常に可能です。この攻撃は本質的にサービス拒否攻撃ですが, メッセージ認証がない場合, RTP アプリケーションは真の値とビット単位で相関する入力を持つことになります。このようなデータが有効なビデオデータとして受け入れられると, 一部のマルチメディアコーデックや一般的なオペレーティングシステムはクラッシュします。このサービス拒否攻撃は, 攻撃者がパケットをドロップ, 遅延, または再順序付けすることによる脅威よりもはるかに大きな脅威である可能性があります。

平文を予測できない攻撃者でも, 受信者がそれを受け入れることを確信して以前のメッセージを再生することができます。ステートレスコーデックを持つアプリケーションはこのタイプの攻撃に対してロバストである可能性がありますが, 他のより複雑なアプリケーションでは, これらの攻撃ははるかに深刻である可能性があります。

平文を予測できる攻撃者は, 自分が選択した任意の値に復号化されるように暗号文を変更できます。加法ストリーム暗号では, 攻撃者は常に個々のビットを変更できます。

復号化されたが認証されていない平文に基づいてデータ転送またはアクセス制御の決定が行われる場合, 認証の欠如により攻撃者は機密性を破ることができる可能性があります。これは, 受信者がデータを攻撃者に転送するように騙される可能性があるため, 間接的な機密性の侵害につながります ([B96] の Section 3 を参照)。これは, データ転送の決定が復号化された平文に基づいて行われるためです; 平文内の情報は, ESP [RFC2401] トンネルモード (またはトランスポートモード) で平文がどのサブネット (またはプロセス) に転送されるかを決定します。メッセージ認証なしで Secure RTP を使用する場合, アプリケーションが復号化された平文に基づいてデータ転送またはアクセス制御の決定を行わないことを確認する必要があります。

パディングを必要とする一部の暗号動作モード, たとえば標準暗号ブロックチェーン (CBC) は, 完全性なしで特定のパディングタイプが使用される場合, 機密性に対する攻撃に非常に敏感です。攻撃 [V02] は, CBC モードと一緒に使用される場合, Figure 1 を参照して説明された標準 RTP パディングについて, これが実際に当てはまることを示しています。したがって, SRTP への後の変換追加は, 適切な完全性保護なしでこのパディングを使用するリスクを慎重に考慮しなければなりません (MUST)。