форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
Сообщение от opennews (??) on 07-Дек-12, 23:01
На конференции Passwords^12 был продемонстрирован (http://www.h-online.com/security/news/item/Password-cracking...) специализированный кластер для подбора хэшей, состоящий (http://passwords12.at.ifi.uio.no/Jeremi_Gosney_Password_Crac...) из пяти 4U-серверов, в сумме укомплектованных 25 графическими процессорами (14 видеокарт AMD Radeon HD). Программная начинка  построена на Linux и кластерной платформе VCL (http://www.mosix.org/txt_vcl.html) (Virtual OpenCL), позволяющей OpenCL-приложениям работать со всеми GPU кластера, как если бы они были подключены к одной системе. Для подбора хэшей с задействованием GPU-акселерации использовался пакет oclHashcat-plus (http://hashcat.net/), который был модифицирован для использования в более крупных кластерах, включающих до 128 GPU. <center><img src="https://www.opennet.ru/opennews/pics_base/0_1354906348.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center> Указанный кластер был успешно использован для побора 90% паролей из базы в 6.5 млн хэшей, опубликованной после утечки (https://www.opennet.ru/opennews/art.shtml?num=34033) данных о паролях пользователей социальной сети LinkedIn. В процессе исследования эффективности подбора различных видов хэшей, кластер позволил добиться скорости перебора для хешей MD5 в 180 млрд комбинаций в секунду (md5crypt - 77 миллионов в секунду), для SHA1 - 63 млрд хешей в секунду, для Sha512crypt - 364 тыс. комбинаций в секунду и для Bcrypt - 71 тыс. комбинаций в секунду. Хэши NTLM подбирались со скоростью 348 млрд комбинаций в секунду, что позволяет подобрать пароль для любого 8-символьного пароля менее чем за 6 часов. <center><img src="https://www.opennet.ru/opennews/pics_base/0_1354906368.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center> <center><img src="https://www.opennet.ru/opennews/pics_base/0_1354906383.jpeg&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></center> URL: http://www.ashep.org/2012/giganstkij-gpu-klaster-dlya-podbor.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=35537
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	–1 +/–
Сообщение от x0r (??) on 07-Дек-12, 23:01
слышал что blow-fish не паралелится на GPU. классный алгоритм :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+1 +/–
	Сообщение от Анонимус_б6 on 07-Дек-12, 23:36
	а разве такое бывает?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+1 +/–
	Сообщение от x0r (??) on 07-Дек-12, 23:44
	а что из результатов не видно?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	9. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+2 +/–
	Сообщение от pavlinux (ok) on 08-Дек-12, 01:15
	там другой косячок,  автор рекомендовал Twofish юзать (а может его спец. службы попросили так сказать)   Ну или тройнойрыб - http://ru.wikipedia.org/wiki/Threefish
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	14. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от sdfsfsf on 08-Дек-12, 03:31
	Да, он не очень эффективен на gpu. Но насколько знаю, jtr уже перебирает bcrypt на gpu на скорости, сопоставимой скорости на cpu.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	23. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от Аноним (??) on 08-Дек-12, 17:06
	> сопоставимой скорости на cpu. Так фокус то не в том. У GPU есть пачка блоков выполнения, по поводу чего оно если повезет - делает CPU в десятки раз.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

3. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	–2 +/–
Сообщение от Аноним (??) on 07-Дек-12, 23:39
Интересно, а не быстрее бы был перебор, если без кластеризации запустить по копии hashcat на каждый GPU, вместо VCL и распараллеливания по GPU.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+2 +/–
	Сообщение от Nuzhny on 08-Дек-12, 11:13
	Нет, не было бы. Как-то синхронизировать отдельные программы всё равно бы пришлось. А OpenCL как раз и предназначен для программирования гетерогенных вычислительных устройств. Представленная как раз практически идеальна.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	24. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от Аноним (??) on 08-Дек-12, 17:07
	> Нет, не было бы. Как-то синхронизировать отдельные программы всё равно бы пришлось. Не обязательно. Просто задаешь по одинаковому кусочку диапазона на каждой машине и ждешь окончания работы. И все :)
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

6. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+9 +/–
Сообщение от commiethebeastie (ok) on 07-Дек-12, 23:46
>Хэши NTLM подбирались со скоростью 348 млрд комбинаций в секунду Очередное доказательство превосходства майкрософта.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+4 +/–
	Сообщение от Аноним (??) on 08-Дек-12, 00:28
	Даешь NTLM в линукс вместо тормазнутого bcrypt
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от name (??) on 08-Дек-12, 00:53
	так там вроде вторая версия вышла.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	10. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от pavlinux (ok) on 08-Дек-12, 01:21
	>>Хэши NTLM подбирались со скоростью 348 млрд комбинаций в секунду > Очередное доказательство превосходства майкрософта. Панимаешь ли, это мы тут можем взять и положить болт на всех, внедрить twofish->serpent->mars авторизацию, а вы как хотите так и совмещайте старые системы. А кто не проапдейтился - тот старпёр, нафталиновый мамонт, ссзб, лох, уг и отсталый.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	15. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+3 +/–
	Сообщение от all_glory_to_the_hypnotoad (ok) on 08-Дек-12, 03:57
	это всё исключительно прелести закрытого проприетарного крапа - ни сам m$ не занимается поддрежкой секьюрности своих старых решений, ни даёт это делать прямо заинтересованным лицам
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	11. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от anoname on 08-Дек-12, 01:22
	полно Вам нападать, у NTLM уже преклонный возраст.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	12. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+3 +/–
	Сообщение от krya on 08-Дек-12, 01:44
	а md5 изобрели в 91м.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	25. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от Аноним (??) on 08-Дек-12, 17:09
	> а md5 изобрели в 91м. Так им на данный момент пользоваться уже и не следует - там коллизии нашли.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	30. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от XoRe (ok) on 08-Дек-12, 23:07
	>> а md5 изобрели в 91м. > Так им на данный момент пользоваться уже и не следует - там > коллизии нашли. Угу. А NTLM все ещё продвигают.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

13. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+2 +/–
Сообщение от Андрей (??) on 08-Дек-12, 03:30
VCL - Virtual OpenCL прям действительно виртуально открытый! Загрузить можно, но исходников - нет (или я что-то пропустил?). А детали о infiniband? Вобщем, интересно сделано, но по кол-ву инфы - новость больше похожа на рекламу его услуг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	16. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+4 +/–
	Сообщение от solardiz (ok) on 08-Дек-12, 05:00
	> VCL - Virtual OpenCL прям действительно виртуально открытый! Загрузить можно, но исходников - нет (или я что-то пропустил?). Он действительно несвободный. Я пару месяцев назад попробовал было спросить @Virtual_OpenCL на Twitter _почему_ у них такая лицензия - как и ожидал, ответа не последовало. > А детали о infiniband? Кое-что есть в слайдах, и еще о причинах использования InfiniBand вот тут: http://www.reddit.com/r/crypto/comments/14drqs/password_crac... > Вобщем, интересно сделано, но по кол-ву инфы - новость больше похожа на рекламу его услуг. В слайдах инфы больше. Скоро еще видео выложат. А вообще, на Passwords^12 было много докладов, в том числе от таких известных людей как Joan Daemen (соавтор AES и SHA-3) и Colin Percival (FreeBSD Security Officer Emeritus, автор scrypt и Tarsnap), atom (автор hashcat), Bitweasil (автор Cryptohaze Multiforcer - кстати, под GPL, с встроенной поддержкой GPU по сети, без завязки на Virtual OpenCL и без такой чувствительности к задержкам - но пока что с поддержкой меньшего количества типов хешей и атак) и многих других. Вот все слайды оттуда в PDF-формате: http://passwords12.at.ifi.uio.no <plug> От нас (Openwall) там выступал Simon Marechal, один из разработчиков John the Ripper. Вот наши слайды: http://www.openwall.com/presentations/ </plug>
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	27. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от Аноним (??) on 08-Дек-12, 17:37
	Спасибо за слайды, там попалось кой-чего интересное. Особенно порадовали атаки на SSH с неожиданного ракурса.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
Сообщение от хрен с горы on 08-Дек-12, 07:10
если проводить аналогию с битцоинами, то реализации на вентильных матрицах ваще разорвет эти хэши. поди те, у кого деньги есть уже давно проблем не имеют с этим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	20. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от VoDA (ok) on 08-Дек-12, 13:07
	а можно ссылку почему вентильные матрицы должны порвать хэши? и почему, в конкретном случае, оно быстрее кластера из GPU ;)
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	21. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от С горы on 08-Дек-12, 16:58
	Потому что хэши для биткоинов они высчитывают на порядок быстрее видеокарт, занимают места и тока жрут меньше. В гугле bitcoin fpga куча инфы.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	26. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от Аноним (??) on 08-Дек-12, 17:36
	> Потому что хэши для биткоинов они высчитывают на порядок быстрее видеокарт, Вообще-то в пересчете на чип - нифига не на порядок. А как раз сравнимо. Но жрут меньше. Что впрочем компенсируется весьма конской стоимостью топовых FPGA чипов способных выжать приличные скорости.
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	28. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от С горы on 08-Дек-12, 18:45
	Кстати, да, сравнимо. Перепутал с обещанным ASIC. Но фпга стоят сопостовимо видеокартам, но с несравнимым энергопотребелением.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

22. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
Сообщение от Аноним (??) on 08-Дек-12, 17:04
> для Sha512crypt - 364 тыс. комбинаций в секунду Странно, sha256 майнеры меряют в сотнях МегаХэшей и ГигаХэшах по жизни. Т.е. сотни миллионов или даже миллиарды итераций в секунду. А тут какие-то жалкие 364 тысячи в соседнем алгоритме? Wtf?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	–1 +/–
Сообщение от Аноним (??) on 08-Дек-12, 20:45
хочу такую брутос-вундер-вафлю! очень надо ! думаю что через полгодика окупится.  или нет ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	32. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от адвокат on 09-Дек-12, 02:35
	> хочу такую брутос-вундер-вафлю! очень надо ! думаю что через полгодика окупится.  или нет ? Тут нужно смотреть в вашем конкретном случае, ну или прикиньте сами. В соответствии с поправками № 207-ФЗ от 29.11.2012 российский уголовный кодекс дополняется новыми статьями 159 со значками 1, 2, 3, 4, 5, 6, в том числе «Мошенничество с использованием платежных карт» (ст. 159-3) и «Мошенничество в сфере компьютерной информации» (ст. 159-6). При этом последнее трактуется как хищение имущества или приобретение права на чужое имущество «путем ввода, удаления, блокирования, модификации компьютерной информации или иного вмешательства в функционирование средств хранения, обработки и передачи информации или информационно-телекоммуникационных сетей». За мелкое правонарушение с использованием чужой/поддельной платежной карты либо высоких технологий новые статьи предусматривают штраф до 120 тыс. руб.; обязательные, исправительные или принудительные работы; ограничение свободы до 2 лет или арест на 4 месяца. В тех случаях, когда такое преступление совершает группа лиц по предварительному сговору или ущерб пострадавшего значителен, сумма штрафа увеличивается до 300 тыс. руб.; альтернативная санкция - лишение свободы на срок до 4 лет. Если преступник использовал свое служебное положение или размер ущерба признан крупным, судья может назначить штраф до 500 тыс. руб. либо срок до 5 лет с уплатой штрафа до 80 тыс. руб. Преступления, совершенные ОПГ или с причинением ущерба в особо крупном размере, караются лишением свободы до 10 лет со штрафом до 1 млн. руб. При этом ущерб считается крупным, если стоимость похищенного имущества превышает 1,5 млн. руб., особо крупным - 6 млн. руб.
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	33. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+1 +/–
	Сообщение от tonys (ok) on 09-Дек-12, 11:12
	>Тут нужно смотреть в вашем конкретном случае, ну или прикиньте сами. Еще одна поправка есть. Если ущерб превышает 1(один) миллион долларов, но обвиняемый добровольно заносит 25% налом в портфеле, то его статус автоматически переводится в "подозреваемый", если 50% то это уже "свидетель", ну а если 75%, то это уже отсутствие состава преступления.
	Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

31. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
Сообщение от XoRe (ok) on 08-Дек-12, 23:12
> состоящий из пяти 4U-серверов Три из пяти компов - десктопы. Теперь я знаю, как называть десктопный ПК - 4-U сервер :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	34. "Оценка эффективности хэширования паролей на крупном GPU-клас..."	+/–
	Сообщение от Аноним (??) on 09-Дек-12, 13:26
	:) Тут не каждого человека назовешь человеком а вы прикапались к железу
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема