The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Оценка эффективности хэширования паролей на крупном GPU-клас..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от opennews (??) on 07-Дек-12, 23:01 
На конференции Passwords^12 был продемонстрирован (http://www.h-online.com/security/news/item/Password-cracking...) специализированный кластер для подбора хэшей, состоящий (http://passwords12.at.ifi.uio.no/Jeremi_Gosney_Password_Crac...) из пяти 4U-серверов, в сумме укомплектованных 25 графическими процессорами (14 видеокарт AMD Radeon HD). Программная начинка  построена на Linux и кластерной платформе VCL (http://www.mosix.org/txt_vcl.html) (Virtual OpenCL), позволяющей OpenCL-приложениям работать со всеми GPU кластера, как если бы они были подключены к одной системе. Для подбора хэшей с задействованием GPU-акселерации использовался пакет oclHashcat-plus (http://hashcat.net/), который был модифицирован для использования в более крупных кластерах, включающих до 128 GPU.

<center><img src="https://www.opennet.ru/opennews/pics_base/0_1354906348.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>


Указанный кластер был успешно использован для побора 90% паролей из базы в 6.5 млн хэшей, опубликованной после утечки (https://www.opennet.ru/opennews/art.shtml?num=34033) данных о паролях пользователей социальной сети LinkedIn. В процессе исследования эффективности подбора различных видов хэшей, кластер позволил добиться скорости перебора для хешей MD5 в 180 млрд комбинаций в секунду (md5crypt - 77 миллионов в секунду), для SHA1 - 63 млрд хешей в секунду, для Sha512crypt - 364 тыс. комбинаций в секунду и для Bcrypt - 71 тыс. комбинаций в секунду. Хэши NTLM подбирались со скоростью 348 млрд комбинаций в секунду, что позволяет подобрать пароль для любого 8-символьного пароля менее чем за 6 часов.

<center><img src="https://www.opennet.ru/opennews/pics_base/0_1354906368.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>
<center><img src="https://www.opennet.ru/opennews/pics_base/0_1354906383.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center>


URL: http://www.ashep.org/2012/giganstkij-gpu-klaster-dlya-podbor.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=35537

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  –1 +/
Сообщение от x0r (??) on 07-Дек-12, 23:01 
слышал что blow-fish не паралелится на GPU.
классный алгоритм :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +1 +/
Сообщение от Анонимус_б6 on 07-Дек-12, 23:36 
а разве такое бывает?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +1 +/
Сообщение от x0r (??) on 07-Дек-12, 23:44 
а что из результатов не видно?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +2 +/
Сообщение от pavlinux (ok) on 08-Дек-12, 01:15 
там другой косячок,  автор рекомендовал Twofish юзать (а может его спец. службы попросили так сказать)  
Ну или тройнойрыб - http://ru.wikipedia.org/wiki/Threefish
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от sdfsfsf on 08-Дек-12, 03:31 
Да, он не очень эффективен на gpu. Но насколько знаю, jtr уже перебирает bcrypt на gpu на скорости, сопоставимой скорости на cpu.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

23. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 08-Дек-12, 17:06 
> сопоставимой скорости на cpu.

Так фокус то не в том. У GPU есть пачка блоков выполнения, по поводу чего оно если повезет - делает CPU в десятки раз.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

3. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  –2 +/
Сообщение от Аноним (??) on 07-Дек-12, 23:39 
Интересно, а не быстрее бы был перебор, если без кластеризации запустить по копии hashcat на каждый GPU, вместо VCL и распараллеливания по GPU.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +2 +/
Сообщение от Nuzhny on 08-Дек-12, 11:13 
Нет, не было бы. Как-то синхронизировать отдельные программы всё равно бы пришлось. А OpenCL как раз и предназначен для программирования гетерогенных вычислительных устройств. Представленная как раз практически идеальна.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 08-Дек-12, 17:07 
> Нет, не было бы. Как-то синхронизировать отдельные программы всё равно бы пришлось.

Не обязательно. Просто задаешь по одинаковому кусочку диапазона на каждой машине и ждешь окончания работы. И все :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

6. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +9 +/
Сообщение от commiethebeastie (ok) on 07-Дек-12, 23:46 
>Хэши NTLM подбирались со скоростью 348 млрд комбинаций в секунду

Очередное доказательство превосходства майкрософта.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +4 +/
Сообщение от Аноним (??) on 08-Дек-12, 00:28 
Даешь NTLM в линукс вместо тормазнутого bcrypt
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от name (??) on 08-Дек-12, 00:53 
так там вроде вторая версия вышла.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от pavlinux (ok) on 08-Дек-12, 01:21 
>>Хэши NTLM подбирались со скоростью 348 млрд комбинаций в секунду
> Очередное доказательство превосходства майкрософта.

Панимаешь ли, это мы тут можем взять и положить болт на всех,
внедрить twofish->serpent->mars авторизацию, а вы как хотите
так и совмещайте старые системы. А кто не проапдейтился - тот
старпёр, нафталиновый мамонт, ссзб, лох, уг и отсталый.  
    


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +3 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 08-Дек-12, 03:57 
это всё исключительно прелести закрытого проприетарного крапа - ни сам m$ не занимается поддрежкой секьюрности своих старых решений, ни даёт это делать прямо заинтересованным лицам
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от anoname on 08-Дек-12, 01:22 
полно Вам нападать, у NTLM уже преклонный возраст.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +3 +/
Сообщение от krya on 08-Дек-12, 01:44 
а md5 изобрели в 91м.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 08-Дек-12, 17:09 
> а md5 изобрели в 91м.

Так им на данный момент пользоваться уже и не следует - там коллизии нашли.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от XoRe (ok) on 08-Дек-12, 23:07 
>> а md5 изобрели в 91м.
> Так им на данный момент пользоваться уже и не следует - там
> коллизии нашли.

Угу.
А NTLM все ещё продвигают.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

13. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +2 +/
Сообщение от Андрей (??) on 08-Дек-12, 03:30 
VCL - Virtual OpenCL прям действительно виртуально открытый! Загрузить можно, но исходников - нет (или я что-то пропустил?).
А детали о infiniband?
Вобщем, интересно сделано, но по кол-ву инфы - новость больше похожа на рекламу его услуг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +4 +/
Сообщение от solardiz (ok) on 08-Дек-12, 05:00 
> VCL - Virtual OpenCL прям действительно виртуально открытый! Загрузить можно, но исходников - нет (или я что-то пропустил?).

Он действительно несвободный. Я пару месяцев назад попробовал было спросить @Virtual_OpenCL на Twitter _почему_ у них такая лицензия - как и ожидал, ответа не последовало.

> А детали о infiniband?

Кое-что есть в слайдах, и еще о причинах использования InfiniBand вот тут:

http://www.reddit.com/r/crypto/comments/14drqs/password_crac...

> Вобщем, интересно сделано, но по кол-ву инфы - новость больше похожа на рекламу его услуг.

В слайдах инфы больше. Скоро еще видео выложат.

А вообще, на Passwords^12 было много докладов, в том числе от таких известных людей как Joan Daemen (соавтор AES и SHA-3) и Colin Percival (FreeBSD Security Officer Emeritus, автор scrypt и Tarsnap), atom (автор hashcat), Bitweasil (автор Cryptohaze Multiforcer - кстати, под GPL, с встроенной поддержкой GPU по сети, без завязки на Virtual OpenCL и без такой чувствительности к задержкам - но пока что с поддержкой меньшего количества типов хешей и атак) и многих других. Вот все слайды оттуда в PDF-формате:

http://passwords12.at.ifi.uio.no

<plug>
От нас (Openwall) там выступал Simon Marechal, один из разработчиков John the Ripper. Вот наши слайды: http://www.openwall.com/presentations/
</plug>

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 08-Дек-12, 17:37 
Спасибо за слайды, там попалось кой-чего интересное. Особенно порадовали атаки на SSH с неожиданного ракурса.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от хрен с горы on 08-Дек-12, 07:10 
если проводить аналогию с битцоинами, то реализации на вентильных матрицах ваще разорвет эти хэши. поди те, у кого деньги есть уже давно проблем не имеют с этим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от VoDA (ok) on 08-Дек-12, 13:07 
а можно ссылку почему вентильные матрицы должны порвать хэши? и почему, в конкретном случае, оно быстрее кластера из GPU ;)
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от С горы on 08-Дек-12, 16:58 
Потому что хэши для биткоинов они высчитывают на порядок быстрее видеокарт, занимают места и тока жрут меньше.
В гугле bitcoin fpga куча инфы.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 08-Дек-12, 17:36 
> Потому что хэши для биткоинов они высчитывают на порядок быстрее видеокарт,

Вообще-то в пересчете на чип - нифига не на порядок. А как раз сравнимо. Но жрут меньше. Что впрочем компенсируется весьма конской стоимостью топовых FPGA чипов способных выжать приличные скорости.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от С горы on 08-Дек-12, 18:45 
Кстати, да, сравнимо. Перепутал с обещанным ASIC. Но фпга стоят сопостовимо видеокартам, но с несравнимым энергопотребелением.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

22. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 08-Дек-12, 17:04 
> для Sha512crypt - 364 тыс. комбинаций в секунду

Странно, sha256 майнеры меряют в сотнях МегаХэшей и ГигаХэшах по жизни. Т.е. сотни миллионов или даже миллиарды итераций в секунду. А тут какие-то жалкие 364 тысячи в соседнем алгоритме? Wtf?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  –1 +/
Сообщение от Аноним (??) on 08-Дек-12, 20:45 
хочу такую брутос-вундер-вафлю! очень надо !
думаю что через полгодика окупится.  или нет ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от адвокат on 09-Дек-12, 02:35 
> хочу такую брутос-вундер-вафлю! очень надо ! думаю что через полгодика окупится.  или нет ?

Тут нужно смотреть в вашем конкретном случае, ну или прикиньте сами.

В соответствии с поправками № 207-ФЗ от 29.11.2012 российский уголовный кодекс дополняется новыми статьями 159 со значками 1, 2, 3, 4, 5, 6, в том числе «Мошенничество с использованием платежных карт» (ст. 159-3) и «Мошенничество в сфере компьютерной информации» (ст. 159-6). При этом последнее трактуется как хищение имущества или приобретение права на чужое имущество «путем ввода, удаления, блокирования, модификации компьютерной информации или иного вмешательства в функционирование средств хранения, обработки и передачи информации или информационно-телекоммуникационных сетей». За мелкое правонарушение с использованием чужой/поддельной платежной карты либо высоких технологий новые статьи предусматривают штраф до 120 тыс. руб.; обязательные, исправительные или принудительные работы; ограничение свободы до 2 лет или арест на 4 месяца. В тех случаях, когда такое преступление совершает группа лиц по предварительному сговору или ущерб пострадавшего значителен, сумма штрафа увеличивается до 300 тыс. руб.; альтернативная санкция - лишение свободы на срок до 4 лет. Если преступник использовал свое служебное положение или размер ущерба признан крупным, судья может назначить штраф до 500 тыс. руб. либо срок до 5 лет с уплатой штрафа до 80 тыс. руб. Преступления, совершенные ОПГ или с причинением ущерба в особо крупном размере, караются лишением свободы до 10 лет со штрафом до 1 млн. руб. При этом ущерб считается крупным, если стоимость похищенного имущества превышает 1,5 млн. руб., особо крупным - 6 млн. руб.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +1 +/
Сообщение от tonys email(ok) on 09-Дек-12, 11:12 
>Тут нужно смотреть в вашем конкретном случае, ну или прикиньте сами.

Еще одна поправка есть.

Если ущерб превышает 1(один) миллион долларов, но обвиняемый добровольно заносит 25% налом в портфеле, то его статус автоматически переводится в "подозреваемый", если 50% то это уже "свидетель", ну а если 75%, то это уже отсутствие состава преступления.
  

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

31. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от XoRe (ok) on 08-Дек-12, 23:12 
> состоящий из пяти 4U-серверов

Три из пяти компов - десктопы.
Теперь я знаю, как называть десктопный ПК - 4-U сервер :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Оценка эффективности хэширования паролей на крупном GPU-клас..."  +/
Сообщение от Аноним (??) on 09-Дек-12, 13:26 
:) Тут не каждого человека назовешь человеком а вы прикапались к железу
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру