================================
The ShadowPenguin Documents. No.13
- crypt( )レシピ -
Written by Hariru Dec.25, 1998
================================
1.はじめに
今回説明するcryptとは、米国商務省標準局(NBS)が発表したデータ暗号化基準(DES)に準拠したパスワード暗号化用ルーチンであり、通常のUNIXシステムの/etc/passwdや/etc/shadowなどの中にある13文字の暗号文等を生成するために用いられています。このcryptの原理をC言語プログラムの具体例を挙げながら解説します。
2. cryptの基本
/etc/passwdのファイルの中身は次のようになっています。
/etc/passwd サンプル ---------------------------------------------------------------------------- carter:W8PfQwa4rEd4w:10942:10000:Chris Carter:/home/carter:/bin/csh mulder:Gv/EqgMEVNP2I:12220:10000:Fox Mulder:/home/mulder:/bin/csh scully:qA0A0YF6Xli.g:10675:10000:Dana Scully:/home/scully:/bin/csh greenman:7a08OQW9zKd72:10854:10000:Little Greenman:/home/greenman:/bin/csh ----------------------------------------------------------------------------
上の例で説明しますと、各ユーザアカウントに対する暗号化されたパスワードが、
コロン( : )で区切られた2番目のフィールドに書かれてます。
暗号の文字列は13文字で、最初の2文字はsalt(塩)と呼ばれています。
なぜsaltというのかわかりませんが、おそらく隠し味という意味なのでしょう。
実際プログラムでも、そんな感じになっていますから。
また、このsaltはUNIXコマンドのpasswdなどで新しくパスワードを作るときに
ランダムに2文字作られますので、通常に使う場合に意識する必要はありません。
ちなみに暗号文の文字列は、
" ./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz
"
の64個だけで構成されています。 それ以外の文字列がある場合は、普通のcrypt暗号パスワードではありません。
あるいは、2番目のフィールドが「*」や「x」などの場合は、 /etc/shadowファイル等に暗号化された文字列がありますので、探してみましょう。
うんちくとして、John the RipperやCracker Jackなどのパスワードクラッキングツールは、
/etc/passwdから各個人の暗号化されたパスワードを一つづつ取り出していきます。
そして、その文字列のsaltを使ってオンライン辞書の中の文字をcryptなどで暗号化し、
一致するか試しています。
つまり、いくらJohnやJackでも、cryptは避けて通れない部分となります。
どうです。あまり興味なく読んでいる方も、少しは興味を持つようになったでしょう?
3.プログラム
実際のプログラムに移る前に、簡単にプログラムの説明をしておきますね。
このプログラムは、setkey( ), encrypt( ), crypt( )の3つに分かれています。
setkey( ):16個の内部鍵を造りだします。
encrypt( ):DES暗号化アルゴリズムを実行します。
crypt( ):暗号化された文字列を造り出します。
処理の流れとしては、こんな感じです。
crypt(){
setkey()
encrypt()×25回
}
じゃ、実際のプログラムです。
----------- crypt3.c -----------
/*
* 初期転置 IP
*/
static char IP[] = {
58,50,42,34,26,18,10, 2,
60,52,44,36,28,20,12, 4,
62,54,46,38,30,22,14, 6,
64,56,48,40,32,24,16, 8,
57,49,41,33,25,17, 9, 1,
59,51,43,35,27,19,11, 3,
61,53,45,37,29,21,13, 5,
63,55,47,39,31,23,15, 7,
};
/*
* 最終転置 FP = IP^(-1)
*/
static char FP[] = {
40, 8,48,16,56,24,64,32,
39, 7,47,15,55,23,63,31,
38, 6,46,14,54,22,62,30,
37, 5,45,13,53,21,61,29,
36, 4,44,12,52,20,60,28,
35, 3,43,11,51,19,59,27,
34, 2,42,10,50,18,58,26,
33, 1,41, 9,49,17,57,25,
};
/*
* 縮約型転置 PC1
* 共通鍵の64ビット列からC(28)とD(28)を生成します
* なお、共通鍵の8,16,24...ビット目はパリティービットを意図し、
* この縮約型転置で省略されますので注意してください
*/
static char PC1_C[] = {
57,49,41,33,25,17, 9,
1,58,50,42,34,26,18,
10, 2,59,51,43,35,27,
19,11, 3,60,52,44,36,
};
static char PC1_D[] = {
63,55,47,39,31,23,15,
7,62,54,46,38,30,22,
14, 6,61,53,45,37,29,
21,13, 5,28,20,12, 4,
};
/*
* 循環シフトで使われるスケジュール表
*/
static char shifts[] = { 1,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1, };
/*
* 縮約型転置 PC2
* C(28)とD(28)から、58ビットのビット列を生成します
*/
static char PC2_C[] = {
14,17,11,24, 1, 5,
3,28,15, 6,21,10,
23,19,12, 4,26, 8,
16, 7,27,20,13, 2,
};
static char PC2_D[] = {
41,52,31,37,47,55,
30,40,51,45,33,48,
44,49,39,56,34,53,
46,42,50,36,29,32,
};
/*
* CとDは、縮約型転置PC1後のビット列を2等分したものです
* CとDは循環左シフトされ、縮約型転置PC2に渡されます
*/
static char C[28];
static char D[28];
/*
* 生成された内部鍵KS1〜KS16を記憶しておきます
*/
static char KS[16][48];
/*
* saltによって変更される拡大型転置 E
* 本来の拡大型転置 e2
*/
static char E[48];
static char e2[] = {
32, 1, 2, 3, 4, 5,
4, 5, 6, 7, 8, 9,
8, 9,10,11,12,13,
12,13,14,15,16,17,
16,17,18,19,20,21,
20,21,22,23,24,25,
24,25,26,27,28,29,
28,29,30,31,32, 1,
};
/*
* setkey()は、与えられた64ビットのkey(=block)から、
* 内部鍵KS1〜KS16を生成します
*/
void
setkey(key)
char *key;
{
register int i, j, k;
int t;
/*
* 最初に、keyから縮約型転置PC1を行ってCとDを生成します
* 8ビット毎の最下位ビットは使用されません
* したがって、CとDは個々に28ビットだけです
*/
for(i=0; i < 28; i++) {
C[i] = key[PC1_C[i]-1];
D[i] = key[PC1_D[i]-1];
}
/*
* スケジュール表shiftsに従ってCとDを循環シフトします
* そして、縮約型転置PC2を行って、内部鍵KSを生成します
*/
for(i=0; i < 16; i++) {
/*
* CとDを循環左シフトします
*/
for(k=0; k < shifts[i]; k++) {
t = C[0];
for(j=0; j < 28-1; j++)
C[j] = C[j+1];
C[27] = t;
t = D[0];
for(j=0; j < 28-1; j++)
D[j] = D[j+1];
D[27] = t;
}
/*
* 循環左シフトしたものを縮約型転置PC2を行います
* 得られる内部鍵KSは、
* PC2されたCとDが連結されることに注意してください
*/
for(j=0; j < 24; j++) {
KS[i][j] = C[PC2_C[j]-1];
KS[i][j+24] = D[PC2_D[j]-28-1];
}
}
/*
* 拡大型転置Eは、saltによって変更されるのでe2からコピーします
*/
for(i=0; i < 48; i++)
E[i] = e2[i];
}
/*
* 8つの各Sボックス
* これらのテーブルは、8つ全て異なります
*/
static char S[8][64] = {
14, 4,13, 1, 2,15,11, 8, 3,10, 6,12, 5, 9, 0, 7,
0,15, 7, 4,14, 2,13, 1,10, 6,12,11, 9, 5, 3, 8,
4, 1,14, 8,13, 6, 2,11,15,12, 9, 7, 3,10, 5, 0,
15,12, 8, 2, 4, 9, 1, 7, 5,11, 3,14,10, 0, 6,13,
15, 1, 8,14, 6,11, 3, 4, 9, 7, 2,13,12, 0, 5,10,
3,13, 4, 7,15, 2, 8,14,12, 0, 1,10, 6, 9,11, 5,
0,14, 7,11,10, 4,13, 1, 5, 8,12, 6, 9, 3, 2,15,
13, 8,10, 1, 3,15, 4, 2,11, 6, 7,12, 0, 5,14, 9,
10, 0, 9,14, 6, 3,15, 5, 1,13,12, 7,11, 4, 2, 8,
13, 7, 0, 9, 3, 4, 6,10, 2, 8, 5,14,12,11,15, 1,
13, 6, 4, 9, 8,15, 3, 0,11, 1, 2,12, 5,10,14, 7,
1,10,13, 0, 6, 9, 8, 7, 4,15,14, 3,11, 5, 2,12,
7,13,14, 3, 0, 6, 9,10, 1, 2, 8, 5,11,12, 4,15,
13, 8,11, 5, 6,15, 0, 3, 4, 7, 2,12, 1,10,14, 9,
10, 6, 9, 0,12,11, 7,13,15, 1, 3,14, 5, 2, 8, 4,
3,15, 0, 6,10, 1,13, 8, 9, 4, 5,11,12, 7, 2,14,
2,12, 4, 1, 7,10,11, 6, 8, 5, 3,15,13, 0,14, 9,
14,11, 2,12, 4, 7,13, 1, 5, 0,15,10, 3, 9, 8, 6,
4, 2, 1,11,10,13, 7, 8,15, 9,12, 5, 6, 3, 0,14,
11, 8,12, 7, 1,14, 2,13, 6,15, 0, 9,10, 4, 5, 3,
12, 1,10,15, 9, 2, 6, 8, 0,13, 3, 4,14, 7, 5,11,
10,15, 4, 2, 7,12, 9, 5, 6, 1,13,14, 0,11, 3, 8,
9,14,15, 5, 2, 8,12, 3, 7, 0, 4,10, 1,13,11, 6,
4, 3, 2,12, 9, 5,15,10,11,14, 1, 7, 6, 0, 8,13,
4,11, 2,14,15, 0, 8,13, 3,12, 9, 7, 5,10, 6, 1,
13, 0,11, 7, 4, 9, 1,10,14, 3, 5,12, 2,15, 8, 6,
1, 4,11,13,12, 3, 7,14,10,15, 6, 8, 0, 5, 9, 2,
6,11,13, 8, 1, 4,10, 7, 9, 5, 0,15,14, 2, 3,12,
13, 2, 8, 4, 6,15,11, 1,10, 9, 3,14, 5, 0,12, 7,
1,15,13, 8,10, 3, 7, 4,12, 5, 6,11, 0,14, 9, 2,
7,11, 4, 1, 9,12,14, 2, 0, 6,10,13,15, 3, 5, 8,
2, 1,14, 7, 4,10, 8,13,15,12, 9, 0, 3, 5, 6,11,
};
/*
* 転置 P
* 各Sボックス通過後、行われる転置です
*/
static char P[] = {
16, 7,20,21,
29,12,28,17,
1,15,23,26,
5,18,31,10,
2, 8,24,14,
32,27, 3, 9,
19,13,30, 6,
22,11, 4,25,
};
/*
* 現在のblockを2等分に分割して、LとRを生成します
* tempLは一時的にRを記憶する場所で、後に次段のLとなります
* fは、各Sボックス通過後に結合されたビット列となります
*/
static char L[32], R[32];
static char tempL[32];
static char f[32];
/*
* preSは、各Sボックスを通過する前の48ビットのビット列です
*/
static char preS[48];
/*
* encrypt()は、与えられたblockをDES暗号化アルゴリズムで暗号化します
* ちなみに、edflagはこのプログラムでは使っていません
*/
void
encrypt(block, edflag)
char *block;
int edflag;
{
int i;
register int t, j, k;
/*
* 最初に、与えられたblockに初期転置を行います
*/
for(j=0; j < 64; j++)
L[j] = block[IP[j]-1];
/*
* 暗号化オペレーションを16段実行します
*/
for(i=0; i < 16; i++) {
/*
* R配列をtempLへ一時記憶します
* 後に、次の段のL配列になります
*/
for(j=0; j < 32; j++)
tempL[j] = R[j];
/*
* Rを、saltにより変更された拡大型転置で48ビットに拡張し、
* 内部鍵KSと排他的論理和を行います
*/
for(j=0; j < 48; j++)
preS[j] = R[E[j]-1] ^ KS[i][j];
/*
* まず、48ビットのpreSを6ビットごとに区切って、
* 8つのグループを考えます
* この8つに区切った6ビットの最上位と最下位ビットを行、
* 残り4ビットを列とした行列で、
* 各Sテーブルを使って10進数kに変換します
* また、変換された10進数kを2進数に変えて、fに入れています
*/
for(j=0; j < 8; j++) {
t = 6*j;
k = S[j][(preS[t+0]<<5)+
(preS[t+1]<<3)+
(preS[t+2]<<2)+
(preS[t+3]<<1)+
(preS[t+4]<<0)+
(preS[t+5]<<4)];
t = 4*j;
f[t+0] = (k>>3)&01;
f[t+1] = (k>>2)&01;
f[t+2] = (k>>1)&01;
f[t+3] = (k>>0)&01;
}
/*
* 新しいRはL ExOR f(R、K)です
* しかしながら、その前にfを転置しなければなりませんので、
* ついでにそれもここで行います
*/
for(j=0; j < 32; j++)
R[j] = L[j] ^ f[P[j]-1];
/*
* 記憶していたtempLを次段のLにコピーします
*/
for(j=0; j < 32; j++)
L[j] = tempL[j];
}
/*
* 16段繰り返して得られたLとRを入れ替えます
*/
for(j=0; j < 32; j++) {
t = L[j];
L[j] = R[j];
R[j] = t;
}
/*
* LRを結合した64ビットのビット列に、最終転置を行います
* 最終的に得られたビット列は、新たなblockとします
*/
for(j=0; j < 64; j++)
block[j] = L[FP[j]-1];
}
/*
* crypt()は、与えられたpwとsaltから暗号化されたパスワード文字列を生成します
*/
char *
crypt(pw, salt)
char *pw, *salt;
{
register int i, j, c;
int temp;
static char block[66], iobuf[16];
for(i=0; i < 66; i++)
block[i] = 0;
/*
* 与えられるpwの文字は、一文字8ビットのASCIIコードです
* そのうち最上位ビットは使われないので、1ビット左にずらします
* ちなみに8,16,24...ビット目は意味を持ちません
*/
for(i=0; (c= *pw) && i < 64; pw++) {
for(j=0; j < 7; j++, i++)
block[i] = (c>>(6-j)) & 01;
i++;
}
/*
* 多少変更されたpw(=block)で、内部鍵KS1〜KS16を生成します
*/
setkey(block);
for(i=0; i < 66; i++)
block[i] = 0;
/*
* 与えられたsaltにより、拡大型転置を変更します
* ちなみに、saltの文字が次の並びの何番目にあるのかで、0〜63の値を得ています
* 仮にこの並びをascii64とでもしておきます
* ascii64[] =
* "./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz";
* 0 1 2 3 4 5 6
* 0123456789012345678901234567890123456789012345678901234567890123
*/
for(i=0; i < 2; i++) {
c = *salt++;
/*
* 暗号化されたパスワードの最初の2文字はsalt自身であるから、
* cryptの出力であるiobufに入れておく
*/
iobuf[i] = c;
/*
* ascii64の並びに従って、c(=salt)を0〜63の値に変換します
* ASCIIコード表を見ながらなら、この変換法もわかりやすいです
*/
if(c > 'Z')
c -= 6;
if(c > '9')
c -= 7;
c -= '.';
for(j=0; j < 6; j++) {
/*
* 6ビットのビット列に"1"があれば、拡大型転置の
* E[6*i+j]とE[6*i+j+24]を入れ替えます
*/
if((c>>j) & 01) {
temp = E[6*i+j];
E[6*i+j] = E[6*i+j+24];
E[6*i+j+24] = temp;
}
}
}
/*
* DES暗号化アルゴリズムにおける平文をblockと考え、
* この状態からpwで生成された内部鍵KSと、
* 変更された拡大型装置Eを使って、25回繰り返します
* ちなみに、最初に入力されるblockはNULL(=0)です
*/
for(i=0; i < 25; i++)
encrypt(block, 0);
/*
* 25回のDES暗号化で得られたblockを6ビットごとに区切り、
* 0〜63の値を得ます
* それをascii64の並びによって文字に変換し、
* cryptの出力iobufの2文字以降に入れていきます
* ちなみに、blockにはNULL(=0)で埋まった65,66ビット目もありますので、
* 11等分(11文字)に区切ることができます
*/
for(i=0; i < 11; i++) {
c = 0;
for(j=0; j < 6; j++) {
c <<= 1;
c |= block[6*i+j];
}
c += '.';
if(c > '9')
c += 7;
if(c > 'Z')
c += 6;
iobuf[i+2] = c;
}
/*
* iobufの14文字目をNULL(=0)にします
*/
iobuf[i+2] = 0;
/*
* 以上の紆余曲折があって、暗号化されたパスワード文字列が導き出されます
*/
return(iobuf);
}
------------- END --------------
ちなみに、このプログラムにはmain( )がないため、コンパイルできないと思います。
このプログラムを実行するためには、次のプログラムのように"crypt3.c"をインクルードして、
crypt( )を呼び出す必要があります。
---------- makepass.c ----------
#include <stdio.h>
#include "crypt3.c"
void
main(int argc, char *argv[])
{
if(argc!=3){
printf("Usage: %s ¥n",argv[0]);
exit(1);
}
/*
* argv[1]が暗号化する8文字のパスワードで、
* arvg[2]が2文字のsaltになります
*/
printf("%s¥n", crypt(argv[1], argv[2]));
}
------------- END --------------
これをcrypt3.cと同じディレクトリにおき、次のようにコンパイルして実行してみてください。
そうすればパスワードがhogehogeで、saltがaaの、暗号化されたパスワードが表示されます。
%cc makepass.c -o makepass %./makepass hogehoge aa aajubLRxx6HLY
このhogehogeやaaを、自分のものに変えて試してみてください。 おそらく、/etc/passwdや/etc/shadowなどに記述された通りになるでしょう。
4.おわりに
プログラムのコメントはかなりわかりやすく書いたつもりですので、
プログラムを少しかじった人ならこの流れをすぐに理解できるでしょう。
それでもわからないという方は、私が書いた「DES暗号化アルゴリズムの詳細」を一度読むと、
理解しやすいです。ただしそのとき注意したいのは、入力したパスワードは内部鍵生成の
共通鍵に使われ、決して暗号化していく平文ではないという点です。 これさえふまえれば、すんなりと理解できます。
それでもわからないって方は、ええ〜と・・・、頑張って勉強しましょうね。
以上、ちょっとした塩(salt)加減で出来上がりの味が大きく変わる、crypt(
)レシピでした
〜〜 お わ り 〜〜
参考文献 [1]passwd crackのしくみ(Last modify '98/12/19), Written by wormhole. http://www.ugtop.com/wormhole/passwd.html [2]プログラムのもととなったcrypt3.c ftp://ftp.replay.com/pub/replay/applied-crypto/crypt3.c [3]財団法人電力中央研究所(Central Research Institute of Electric Power Industry), SunOSのオンラインマニュアル(?) http://criepi.denken.or.jp/local/MAN/sunos/man3/encrypt.3.html