Структура PWL-файлов

Структура PWL-файлов. Для аутентификации в операционных системах Microsoft Windows 9x используются, хранящиеся в директории операционной системы, файлы. PWL, которые содержат кэшированную парольную информацию. Какая бы то ни было документация по их структуре отсутствует, поэтому нами было проведено исследование этих файлов и было выяснен их формат.

Таблица 1.1Структура PWL-файла. Смещение Windows 3.11, Windows 95 без Service Pack Windows 95 с Service Pack, Windows OSR2 и Windows 98 0000 0003 Сигнатура - B0 6 4D 4E MFN Сигнатура - E3 82 85 96 yВЕЦ 0004 0007 Счетчик пользователя Счетчик пользователя 0008 107 Resource Link Index Resource Link Index 0108 Нулевой байт Нулевой байт 0109 0207 Resource Key Entry Resource Key Entry 0208 021B Имя пользователя 0208 0250 Таблица указателей на начала ресурсов 021C 023D Таблица указателей на начала ресурсов 023E 025E Ресурс 0 ресурс F 0251 Нулевой байт 052 02AF Ресурс 0 ресурс F В одном ресурсе может быть несколько парольных записей, следующих одна за другой.

Первое слово каждой записи представляет собой длину записи, включая и это слово.

Признаком конца цепочки записей является нулевое слово. Таким образом пустой ресурс - это просто нулевое слово. Тогда ясно, что если PWL-файл в Windows95 имеет длину 606 байт, и соответственно 688 в Windows98, то все ресурсы в нем пустые. Каждый ресурс зашифрован гаммой, которая накладывается, начиная с его начала. PWL-файл шифруется простым гаммированием, гамма генерируется алгоритмом RC4. При первой регистрации пользователя запрашивается пароль.

Далее пароль приводится к верхнему регистру и сворачивается в ключ. Из этого ключа порождается гамма псевдослучайная последовательность нулей и единиц. Эта гамма сложением по модулю два накладывается на каждый из ресурсов с его начала и зашифровывает их. Аналогично ресурсам зашифровывается имя пользователя и таблица указателей на начала ресурсов. Рис. 5. Структура PWL-файла Полученный ключ используется для инициализации генератора псевдослучайных чисел по алгоритму RC4. Для каждого ключа RC4 порождает уникальную битовую последовательность гамму. Алгоритм сопоставления ключа паролю слаб тем, что при выбранной длине ключа в двойное слово, множество различных ключей 232 оказывается неизмеримо меньше множества различных паролей.

Это означает, что существуют пароли, которые операционная система не различает. При последующих регистрациях данным пользователем запрашивается пароль. Он приводится к верхнему регистру, опять сворачивается в ключ из которого опять порождается гамма.

Если порождаемое этой гаммой имя пользователя дешифровывается правильно, то пароль считается введенным правильно. После этого дешифровываются таблица указателей на начала ресурсов и сами ресурсы. Дешифровка производится вторичным наложением гаммы сложением по модулю два. Если имя пользователя не дешифровывается правильно, то пароль считается неправильным. Таким образом проверка правильности введенного пароля производится по совпадению первых 20-и байт порожденной из него гаммы с первыми 20-ю байтами гаммы от правильного пароля. Этот алгоритм определения подлинности пароля является весьма оригинальным, т.к. нигде не сохраняется ни зашифрованный пароль, ни хеш-функция необратимое преобразование пароля, но, в то же время нелепо реализованным.

Ведь поскольку имя пользователя известно заранее, то первые 20 байт гаммы тривиально вычисляются. Но, т.к. эта же гамма накладывается на каждый ресурс отсутствие смены гаммы при шифровании разных полей - это основная ошибка применения алгоритма RC4 в данном случае, то можно дешифровать и первые 20 байт каждого ресурса! PWL-файл имеет избыточную информацию - есть указатели на начала ресурсов, но есть и длины записей в ресурсах и из одного можно вычислять другое.

Если в ресурсах не более одной записи, то длина ресурса есть первое слово ресурса плюс два длина первой записи ресурса плюс длина нулевого слова. Определяя по началу и длине данного ресурса начало следующего, рассчитывается вся таблица указателей на начала ресурсов.

Если в ресурсах более одной записи, то начало следующего ресурса все равно можно найти. Это сводит прочность системы шифрования к нулю под прочностью системы шифрования понимается количество вариантов, которые необходимо перебрать для ее гарантированного вскрытия. Алгоритм генерации ключа по паролю Имеем ключ двойное слово и пароль до 20-и символов. 1 Обнулить ключ. 2 Привести пароль к верхнему регистру. 3 Для каждого символа пароля, начиная с первого а прибавить код символа к ключу б повернуть ключ влево 7 раз. Алгоритм сопоставления ключа паролю слаб тем, что при выбранной длине ключа в двойное слово, множество различных ключей 232 оказывается неизмеримо меньше множества различных паролей.

Это означает, что существуют пароли, которые Windows 95 не отличает друг от друга. Это делает совершенно бессмысленными допускаемые в Windows 95 длинные пароли и эффективная длина пароля соответствует только пяти символам! Правда, это не означает, что для каждого пароля найдется эквивалент из пяти символов, т.к. множество паролей отображается на множество ключей неравномерно.

Между тем, достаточно было накладывать гамму на ресурсы, не используя первых засвеченных ее байт, что и было реализовано в следующих версиях. Таким образом, в механизме безопасности операционной системы Microsoft Windows 95 обнаружена существенная ошибка. Для ее исправления необходимо модернизация операционной системы.

Кроме того, в новых версиях длина пароля ограничена не 32 байтами, а 128. 3.