Arista EOS と Cisco IOS は tacacs+ 暗号化キーをどのように暗号化しますか?

tag-icon tag-icon security cisco encryption ios tacacs+
Arista EOS と Cisco IOS は tacacs+ 暗号化キーをどのように暗号化しますか?

私たちはネットワーク デバイスで AAA に tacacs を使用していますが、デバイス側でパスワードを暗号化する方法に興味があります。

続いてArista EOS マニュアル、139ページ、私は実行しています:

switch(config)#tacacs-server key 0 cv90jr1

ガイドによれば、対応する暗号化された文字列は です020512025B0C1D70

switch(config)#show running-config | grep tacacs
tacacs-server key 7 1306014B5B06167B

彼らが言及したものとは異なる暗号化された文字列を見て、私は興味を持ちました。そこで、同じキーをさらに 10 回追加し、暗号化されたバージョンを確認しました。

tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 070C37151E030B54
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 1306014B5B06167B
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 020512025B0C1D70
tacacs-server key 7 0110105D0B01145E
tacacs-server key 7 110A0F5C4718195D
tacacs-server key 7 0007055F54511957
tacacs-server key 7 03074D525605331D

これに関する情報は見つかりませんでした。マニュアルのキーを 3 回衝突させ、そこに別の衝突があるという事実に特に興味があります。彼らが行うソルト処理は、特に大きな入力ドメインを持たないようです。

では、これはどのように暗号化されるのでしょうか? 攻撃者がデバイスの構成情報 (たとえば、 の出力) を入手した場合show running-config、真の tacacs+ キーを計算するのはどれほど簡単/難しいでしょうか?

Cisco IOS も同じように動作しますか? これを実験するためのラボの Cisco デバイスはありませんが、Arista が異なる必要はないと考えていた機能は Arista と Cisco で同一であるという印象を受けます。

答え1

これはシスコのタイプ7エンコーディングです。非常に弱いアルゴリズムなので、暗号化と呼ぶのはためらわれます。デモのために、暗号化された文字列をこのツールすると、すぐに秘密鍵が提供されます。

暗号化された出力の変動は、確かにある種のソルト、具体的には から生じます。tfd;kfoA,.iyewrkldJKDその文字列は定数ですが、変動するのは開始点です。暗号化された文字列の最初の 2 文字は、ソルトのどこから復号化を開始するかを示します。

見るここアルゴリズムの実装の詳細については、こちらをご覧ください。

答え2

シェーンが述べたように、これらのキーはほとんど暗号化されておらず、肩越しにキーやパスワードを見られるのを防ぐためのものとして一般的に認識されています。実際、サービスパスワード暗号化Cisco で有効にすると、キーはプレーンテキストになります。

通常、この構成を組織外のユーザーと共有する必要がある場合は、構成ファイルからキーとタイプ 7 を使用するその他のパスワードを削除する必要があります。

関連情報