Er PPTP virkelig brudt?

Ja, bestemt. CloudCracker-demonstrationen i 2012 af Moxie Marlinspike viste, at en angriber, der fanger et PPTP MS-CHAP-v2-håndtryk, kan gendanne brugerens adgangskode på cirka 23 timer for 200 dollars. Der er ingen konfigurationsrettelse, fordi matematikken i protokollen er problemet. Microsoft anbefalede selv at migrere fra PPTP i 2012.

Hvorfor er PPTP stadig i operativsystemer?

Bagudkompatibilitet for ældre virksomheds-VPN'er, der ikke var migreret. Store OS'er har fjernet det: macOS i 2016, Windows Server i 2022, nyere Windows 11 builds i 2024. I 2026 er det mere og mere sjældent at støde på PPTP og i stigende grad en forældet sti.

Kan jeg bruge PPTP, hvis jeg har en stærk adgangskode?

Nej. CloudCracker-angrebet virker mod selve MS-CHAP-v2-håndtrykket, ikke adgangskodens styrke. Når først en angriber fanger håndtrykket - hvilket er trivielt på et fjendtligt netværk - er genoprettelsen i det væsentlige garanteret på <24 timer uanset adgangskodens kompleksitet.

Hvad skal jeg migrere min gamle PPTP VPN til?

WireGuard til nye implementeringer (hurtig, moderne, formelt verificeret) eller IKEv2/IPsec, hvis du har brug for native OS-understøttelse uden tredjepartsklienter. Begge er dramatisk mere sikre end PPTP og understøttes på alle nuværende operativsystemer.

Min router har PPTP - skal jeg deaktivere den?

Ja. Hvis du ikke aktivt bruger det, skal du slukke for PPTP-serveren på din router. Hvis du forlader en aktiveret PPTP-server, udsættes et kendt brudt godkendelsesslutpunkt for internettet. De fleste moderne routere understøtter også OpenVPN- eller WireGuard-servere; bruge dem i stedet for.

PPTP forklaret: Den ødelagte VPN-protokol, der stadig lurer i gamle konfigurationer

Q: Hvad skal jeg migrere min gamle PPTP VPN til?

WireGuard til nye implementeringer (hurtig, moderne, formelt verificeret) eller IKEv2/IPsec, hvis du har brug for native OS-understøttelse uden tredjepartsklienter. Begge er dramatisk mere sikre end PPTP og understøttes på alle nuværende operativsystemer.

Q: Min router har PPTP - skal jeg deaktivere den?

Ja. Hvis du ikke aktivt bruger det, skal du slukke for PPTP-serveren på din router. Hvis du forlader en aktiveret PPTP-server, udsættes et kendt brudt godkendelsesslutpunkt for internettet. De fleste moderne routere understøtter også OpenVPN- eller WireGuard-servere; bruge dem i stedet for.

Point-to-Point Tunneling Protocol var den første naturligt understøttede VPN-protokol på Windows, der blev leveret i 1996 med Windows NT 4.0. Det introducerede verden til forbruger-VPN. Det blev også endegyldigt brudt i 2012 - en forsker genfandt en adgangssætning på 23 timer for $200. PPTP bør aldrig bruges i 2026 til noget formål. Her er hvad det er, hvad der gik galt, og hvorfor hvor som helst det stadig eksisterer er en sikkerhedsalarm.

Hele artiklens krop findes på engelsk nedenfor.

Historien

Microsoft byggede PPTP i 1996 som den oprindelige VPN-protokol til Windows NT 4.0. Et leverandørkonsortium (Microsoft, Ascend Communications, 3Com og andre) udgav den formelle specifikation som RFC 2637 i juli 1999. PPTP blev leveret i hver Windows-udgivelse fra Windows 95 og frem som standard VPN-klient og -server - i mere end et årti var det den mest installerede VPN-protokol på planeten, udelukkende fordi den var den nemmeste til at sætte den. up.

Microsoft fjernede formelt den medfølgende PPTP-server fra Windows Server 2022. PPTP-klienten fortsatte i Windows 11 for bagudkompatibilitet gennem 2024 og begyndte derefter at blive fjernet. macOS fjernede dens indbyggede PPTP-klient i macOS 10.12 Sierra (2016). De fleste moderne Linux-distributioner leverer stadig brugerrumsklienten (pptp-linux), men med fremtrædende sikkerhedsadvarsler.

Sådan fungerer PPTP

PPTP bærer Point-to-Point Protocol (PPP) frames inde i Generic Routing Encapsulation (GRE, protokol nummer 47) tunneler, med håndtering af en T1CP tunnel 2-kanalstyring og port 3-styring. Godkendelse bruger Microsofts MS-CHAP-protokol (oprindeligt v1, v2 tilføjet senere). Kryptering bruger Microsoft Point-to-Point-kryptering (MPPE) baseret på RC4.

Ingen af disse valg er ældet godt.

Hvorfor PPTP er brudt

RC4-kryptering

8MPPE med en nøgle er bygget på 12X8MP. RC4 i sig selv er en stream-chiffer, der var state-of-the-art i 1987 og er blevet betragtet som ødelagt i det kryptografiske samfund siden mindst 2013. 2015 RFC 7465 forbød RC4 i TLS fuldstændigt. Store browsere holdt op med at acceptere RC4 i 2015-2016. PPTP er den eneste større VPN-protokol, der afhænger af den.

Ingen chiffertekstgodkendelse

MPPE krypterer dataene, men godkender dem ikke. Der er ingen MAC- eller AEAD-konstruktion, der beviser, at chifferteksten ikke er blevet manipuleret. En angriber, der kan ændre bytes i transit, kan forudsigeligt ændre klarteksten - det klassiske bit-flipping-angreb mod stream-chiffer uden godkendelse.

Samme nøgle i begge retninger

Når du bruger MS-CHAP-v1, bruger MPPE den samme RC4-sessionsnøgle til kommunikationsflowet i begge retninger. En angriber kan XOR de to streams sammen for at annullere keystreamen og gendanne klarteksten direkte. Dette er en krypteringsfejl i lærebogen, der er rettet i v2, men stort set aldrig med de ældre v1-implementeringer, der stadig er i naturen.

MS-CHAP-v1 er grundlæggende usikker. Værktøjer til at gøre dette har eksisteret i over 20 år.

MS-CHAP-v2 blev fuldstændig ødelagt i 2012

Den mest fordømmende begivenhed i PPTP's historie. Ved DEF CON 20 i juli 2012 demonstrerede Moxie Marlinspike og David Hulton, at gendannelse af en MS-CHAP-v2 legitimation er matematisk ækvivalent med en enkelt brute-force DES nøglegendannelse. De byggede CloudCracker, en betalt onlinetjeneste, der kunne gendanne ethvert fanget MS-CHAP-v2-håndtryks underliggende NT-adgangskode-hash på ca. 23 timer for omkring $200 af compute.

Betydningen: En angriber, der fanger et PPTP-login, kan effektivt garantere legitimationsoplysningerne for en god middagspris inden for en dag. Der er ingen defensiv foranstaltning, der løser dette inden for MS-CHAP-v2 — matematikken i protokollen er forkert.

Microsofts officielle svar efter CloudCracker-demonstrationen var at anbefale kunderne helt at stoppe med at bruge MS-CHAP-v2 og migrere til andre VPN-protokoller. PPTP uden MS-CHAP-v2 er stort set ubrugelig, fordi der ikke er nogen anden understøttet godkendelsesmulighed.

Hvad skal erstatte PPTP

WireGuard: moderne, hurtig, formelt verificeret. Den rigtige standard for nye implementeringer.
IKEv2/IPsec: leveres indbygget i moderne Windows, macOS, iOS. Bedre mobilroaming via MOBIKE.
OpenVPN: mere fleksibel, kan gemme sig som HTTPS på TCP/443 for restriktive netværk.

Enhver af disse er dramatisk mere sikker end PPTP. Der er intet scenarie i 2026, hvor PPTP er det rigtige svar.

Hvor du muligvis stadig støder på PPTP

Gamle virksomheds-VPN-koncentratorer uden migreringsplan. Hvis din virksomhed stadig beder dig om at oprette forbindelse via PPTP, er dette en reel sikkerhedshændelse — eskalér den.
Billige forbrugerroutere, der leveres med PPTP-server aktiveret som standard. Deaktiver det.
Ældre Linux-serverkonfigurationer med pptpd installeret fra et selvstudie fra 2012-æraen. Nedluk og erstat med WireGuard.
VPN-protokolvælger dropdowns i nogle kommercielle VPN-apps. Vælg bogstaveligt talt alt andet.

Den gamle lektion

PPTP's historie er standardhistorien for proprietære sikkerhedsprotokoller bygget i 1990'erne - Microsoft prioriterede nem integration frem for kryptografisk rigor, baren blev sat af, hvad der var praktisk i NT-design, og resultatet 4-angreb i Windows0. et årti senere. Moderne VPN-protokoldesign (WireGuard, IPsec ESP-tilstandene) lærer eksplicit af disse fejl ved at påbyde AEAD-cifre, korrekt nøgleadskillelse, perfekt fremadrettet hemmeligholdelse og flygtige nøgler. presserende sikkerhedsmigreringsmål.

Ofte stillede spørgsmål

Er PPTP virkelig brudt?: Ja, bestemt. CloudCracker-demonstrationen i 2012 af Moxie Marlinspike viste, at en angriber, der fanger et PPTP MS-CHAP-v2-håndtryk, kan gendanne brugerens adgangskode på cirka 23 timer for 200 dollars. Der er ingen konfigurationsrettelse, fordi matematikken i protokollen er problemet. Microsoft anbefalede selv at migrere fra PPTP i 2012.
Hvorfor er PPTP stadig i operativsystemer?: Bagudkompatibilitet for ældre virksomheds-VPN'er, der ikke var migreret. Store OS'er har fjernet det: macOS i 2016, Windows Server i 2022, nyere Windows 11 builds i 2024. I 2026 er det mere og mere sjældent at støde på PPTP og i stigende grad en forældet sti.
Kan jeg bruge PPTP, hvis jeg har en stærk adgangskode?: Nej. CloudCracker-angrebet virker mod selve MS-CHAP-v2-håndtrykket, ikke adgangskodens styrke. Når først en angriber fanger håndtrykket - hvilket er trivielt på et fjendtligt netværk - er genoprettelsen i det væsentlige garanteret på <24 timer uanset adgangskodens kompleksitet.
Hvad skal jeg migrere min gamle PPTP VPN til?: WireGuard til nye implementeringer (hurtig, moderne, formelt verificeret) eller IKEv2/IPsec, hvis du har brug for native OS-understøttelse uden tredjepartsklienter. Begge er dramatisk mere sikre end PPTP og understøttes på alle nuværende operativsystemer.
Min router har PPTP - skal jeg deaktivere den?: Ja. Hvis du ikke aktivt bruger det, skal du slukke for PPTP-serveren på din router. Hvis du forlader en aktiveret PPTP-server, udsættes et kendt brudt godkendelsesslutpunkt for internettet. De fleste moderne routere understøtter også OpenVPN- eller WireGuard-servere; bruge dem i stedet for.