SSHを悪用したハッキングツールは非現実的な方法であると発表(SSHコミュニケーションズ・セキュリティ)
SSHコミュニケーションズ・セキュリティ社は、先日カリフォルニア大学バークレー校が発表した「SSHを悪用したハッキングツール」に関しての、それが現実的な脅威とはならないとのコメントを発表した。
同社のコメントによると、SSH Secure Shell3.0.0以降のバージョ
製品・サービス・業界動向
新製品・新サービス
同社のコメントによると、SSH Secure Shell3.0.0以降のバージョンでのパスワードパケットでは固定長にデータの埋め込み処理をするため、バークレー校の論文で提示されている方法でパケットデータの長さを取得することは不可能。また、キーストロークタイミングによってパスワードを解析することは論理的には可能であるが、ユーザごとに信頼性の高い参照データが必要となり、この参照データの入手にはユーザの協力が必要となる。同社の分析によると文字セットの限定なしに8キャラクタのパスワードに対する攻撃を行なう場合、120テラバイトのメモリが必要となり、非現実的であるとのこと。
以上などの理由により、バークレー校の論文の方法は現実的な脅威とはならないとしている。
http://www.ipsec.co.jp/products/ssh/timing_analysis.html
《ScanNetSecurity》