The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В рамках проекта John the Ripper найдены упрощенные выражени..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от opennews (ok) on 24-Июн-11, 22:17 
Вышел (http://www.openwall.com/lists/john-users/2011/06/22/1) релиз John the Ripper 1.7.8 (http://www.openwall.com/john/), включающий новые, упрощенные логические выражения, реализующие так называемые S-box'ы (S-блоки, блоки подстановок) в блочном шифре DES, на основе которого построены также некоторые методы хеширования паролей, включая традиционный crypt(3), используемый в Unix начиная с конца 1970-х годов.


Новые логические выражения на 17% проще известных ранее лучших результатов для тех же наборов логических операций. В частности, для набора {AND, OR, XOR, NOT, AND-NOT}, соответствующего типичным процессорам x86 (MMX, SSE2, AVX) и RISC, результат улучшен с 53.375 до 44.125 логических операций на S-box (в среднем для всех восьми S-box'ов). Для набора, содержащего операцию выбора битов, присутствующую на процессорах Cell, PowerPC с AltiVec, будущих x86 процессорах от AMD (начиная с Bulldozer) с расширениями XOP, а также новых видеокартах от ATI/AMD, результат улучшен с 39.875 до ...

URL: http://www.openwall.com/lists/john-users/2011/06/22/1
Новость: http://www.opennet.dev/opennews/art.shtml?num=30984

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Sylvia (ok) on 24-Июн-11, 22:17 
solardiz, неужели DES/3DES все еще актуальны для хешей паролей в 2011 году ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +4 +/
Сообщение от solardiz (ok) on 24-Июн-11, 22:33 
> неужели DES/3DES все еще актуальны для хешей паролей в 2011 году ?

3DES никогда не был (не для хешей).

DES-based crypt(3) еще актуален - не столько для админов серверов (им надо исправлять настройки), сколько для тех кто занят compliance'ом (PCI DSS и т.п.) и pentesting'ом. Вон, недавно одна крупная международная компания, купившая JtR Pro, консультировалась со мной по настройке ежемесячного аудита DES-based crypt(3) хешей на паре сотен Solaris'овых серверов для соответствия PCI DSS. Для реальной безопасности - толку мало - во всяком случае, это не лучшая трата времени (лучше бы исправить настройки). Но спрос есть, в том числе коммерческий.

Также, иногда утекают и публикуются базы паролей, хешированных DES-based crypt(3) - например, Gawker. Эти пароли - полезное дополнение для оптимизации алгоритмов перебора (.chr файлы, правила).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Sylvia (ok) on 24-Июн-11, 22:50 
спасибо за уточнение )
впрочем, "никогда" это все же не совсем верно, в RedHat 4.0 (1996 год) применялись 3DES хеши для пароля, причем всё было открыто в /etc/passwd и John the Ripper тогда уже существовал ;)
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от solardiz (ok) on 24-Июн-11, 23:14 
> впрочем, "никогда" это все же не совсем верно, в RedHat 4.0 (1996 год) применялись 3DES хеши для пароля

Ты плохо помнишь. Там был обычный DES-based crypt(3), как и на Slackware 3.x того же времени. И то и другое у меня еще сохранилось (правда, с моими же переделками за те годы, включая BSDI'ные хеши в клоне libc5). ;-)

В Linux-PAM, который начали использовать в Red Hat Linux очень рано, была поддержка bigcrypt, но это никакой не 3DES.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Sylvia (ok) on 24-Июн-11, 23:50 
времени прошло много, так что могу и уже не помнить DES там был или 3DES, а вот слака достаточно быстро перешла на использование shadow и MD5 passwords, blowfish тогда тоже уже был как альтернатива, но от Вас я брала только патчи на ядро, тогда еще 2.2 ;) менять crypt было уж слишком для меня )

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от solardiz (ok) on 25-Июн-11, 00:41 
Надеюсь, не обидел обращением на ты - привык еще с фидо и т.п. Ко мне тоже можно на ты, хотя можно и по-всякому.

По теме: во всех известных мне crypt()'ах на основе DES применяется почти одинаковая модификация DES - для реализации salt'ов. (Собственно DES получается лишь при нулевом salt'е. Для всех других значений salt'а - это не совсем DES.) Отличаются они размером salt'ов (12 или 24 бита), количеством итераций модифицированного-DES (25, либо 20+5 на две половинки в crypt16, либо переменное количество в BSDI), отсутствием или наличием поддержки паролей длиннее 8 символов и способом ее реализации (crypt16 vs. bigcrypt). 3DES там ни при чем.

Но это действительно уже почти история.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

5. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от anonymous (??) on 24-Июн-11, 22:52 
> Скорость подбора SSH-ключей на одном компьютере с поддержкой OpenMP составляет сотни тысяч вариантов парольной фразы в секунду

Непонятно написано, подбирался закрытый ключ по заданному открытому, или по заданной паре открытый / шифрованный закрытый подбирался пароль к последнему?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от solardiz (ok) on 24-Июн-11, 23:02 
> подбирался закрытый ключ по заданному открытому, или по заданной паре открытый / шифрованный закрытый подбирался пароль к последнему?

Подбирается парольная фраза к шифрованному закрытому ключу. Высокая скорость перебора означает, что такие фразы надо делать более сложными, чем типичные пароли: http://openwall.info/wiki/internal/ssh (А также то, что разработчикам OpenSSH есть что улучшить. Они в курсе.)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от ВКПб on 24-Июн-11, 22:54 
А какое шифрование не брутфорсится на видеокартах?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +1 +/
Сообщение от solardiz (ok) on 24-Июн-11, 22:57 
Blowfish, и соответственно bcrypt, не реализуется на нынешних видеокартах эффективно: http://www.golubev.com/blog/?p=94
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от pavlinux (ok) on 25-Июн-11, 00:32 
Вроде автор блоуфиша сам писал, что не надо его юзать. Туфиш юзайте.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от solardiz (ok) on 25-Июн-11, 00:53 
> Вроде автор блоуфиша сам писал, что не надо его юзать. Туфиш юзайте.

Twofish - более новая разработка, финалист в конкурсе на AES. Как шифр, он может быть лучше. Но это не означает, что с Blowfish какие-то проблемы, а даже если бы и были, это почти наверняка не влияло бы на использование для хеширования паролей. Так что просто так переделывать bcrypt с Blowfish на Twofish нет никакого смысла. Если что-то в этой области делать, то совсем другое:
http://www.openwall.com/lists/crypt-dev/2011/04/05/2
http://www.openwall.com/lists/crypt-dev/2011/05/09/1

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от pavlinux (ok) on 25-Июн-11, 00:56 
>> Вроде автор блоуфиша сам писал, что не надо его юзать. Туфиш юзайте.
> Twofish - более новая разработка, финалист в конкурсе на AES.

Сейчас у него на сайте роюсь,... где-то там читал...

---

Ладно, вот скажи как криптоаналитик, криптоаналитику, =)
когда правительства разрешать шифры с более чем 512-битным
секретным ключом?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от solardiz (ok) on 25-Июн-11, 01:25 
> Сейчас у него на сайте роюсь,... где-то там читал...

Так я не спорю. Да, авторы Twofish рекомендуют использовать Twofish, а не Blowfish, для новых разработок. Но не по причине "взлома" Blowfish, которого не было, и который, если бы и был, не относился бы к этой теме.

> Ладно, вот скажи как криптоаналитик

Я не считаю себя криптоаналитиком. Я разбираюсь в том, как (не) применять криптографические примитивы и т.п., но я не возьмусь, например, за криптоанализ какого-либо блочного шифра, или во всяком случае не как специалист.

> когда правительства разрешать шифры с более чем 512-битным секретным ключом?

Это тоже должно быть смешно? Давай просто закроем эту ветку.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +1 +/
Сообщение от Аноним (??) on 25-Июн-11, 14:24 
> когда правительства разрешать шифры с более чем 512-битным

секретным ключом?
А они запрещены? Обычно очень длинный ключ не используют сугубо по практическим соображениям: шифрование это наука о том как заменить большой секрет маленьким. Тем более что если криптоалгоритм реализован качественно и упростить его не удалось, перебрать 2^512 значений попросту невозможно чисто физически: если на элементарную операцию расходуется хоть какая-то кроха энергии, при 2^512 тебе не хватит энергии во всей вселенной :). По грубым прикидкам, даже квантовых компьютеров можно не бояться уже с 256-битным ключом. А с 512-битным - солнце погаснет раньше чем его подберут.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от anonymous vulgaris on 26-Июн-11, 01:40 
>Вроде автор блоуфиша сам писал, что не надо его юзать. Туфиш юзайте.

Дык это вроде ему АНБ такую рекламу проплатило?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от solardiz (ok) on 25-Июн-11, 20:27 
В дополнение к моему предыдущему ответу, на видеокартах также не реализуются эффективно sequential memory-hard functions: http://www.tarsnap.com/scrypt.html

Количество thread'ов и их быстродействие ограничиваются объемом памяти и пропускной способностью шины памяти видеокарты. Например, если на компьютере можно позволить себе потратить 512 MB памяти на одну операцию вычисления ключа (key derivation), и причем уже через несколько секунд эта память будет возвращена системе, то на видеокарте с 1 GB памяти поместится всего лишь 2 таких параллельных вычисления.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Аноним (??) on 25-Июн-11, 14:15 
Было бы круто. Лет ...цать назад. А что, кто-то еще не выбросил DES на помойку? Он же уже давно тупым перебором на небольшом кластере за неделю крякается, улучшение на еще сколько-то процентов мало что в этом меняет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +1 +/
Сообщение от solardiz (ok) on 25-Июн-11, 18:32 
> ... DES на помойку? Он же уже давно тупым перебором на небольшом кластере за неделю крякается

Чистый DES - да. А те же crypt(3) хеши на основе DES - уже не тупым перебором и/или не всего набора возможных паролей (а лишь части). Если неделю умножить на 25 итераций DES и на 4096 salt'ов (т.е. если задача - подобрать все пароли к базе из хотя бы тысяч хешей) - то получим почти 2000 лет. Обычно задача так не ставится, да и "неделя" может быть сокращена во много раз на более подходящем железе, но все же отличие DES от DES-based crypt(3) есть существенное. Из более реальных задач - выявление паролей, не соответствующих требованиям - см. мой комментарий выше. Также, не у каждого аудитора (на соответствие требованиям PCI DSS и т.п.) всегда есть под рукой кластер.

Модификация crypt(3) в BSDI, а также FreeSec (код, присутствующий в основных *BSD, а также в недавних версиях PHP), поддерживает настраиваемое количество итераций DES и не имеет ограничения на длину пароля. Умолчание в BSDI было 725 итераций (т.е. в 29 раз медленнее обычного). В 1998 году, незадолго до ухода на bcrypt, я выставлял на системах 20 тысяч итераций. Такие хеши довольно редки, но они встречаются. phpass их использует, когда CRYPT_BLOWFISH нет, а CRYPT_EXT_DES есть (названия в терминах PHP). (Количество итераций он выставляет в тысячи. Конкретное количество зависит от настроек приложения.) JtR их поддерживает (с недавними изменениями - чуточку быстрее).

Также, DES обладает некоторыми хорошими свойствами для аппаратных (FPGA, ASIC) и программных реализаций (bitslice) - маленький размер, эффективное использование LUT'ов (в частности, на Virtex-6), масштабируемость на любую длину SIMD вектора (благодаря эффективным bitslice реализациям). А маленький размер ключа и блока корректируются способом использования. Мы всерьез рассматриваем DES как возможный компонент для нового метода хеширования паролей (см. мои ссылки на crypt-dev). AES и SHA-2 сложно составить конкуренцию DES, когда речь идет о том какую производительность мы получим на один FPGA-чип в сравнении с реализацией на CPU.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Аноним (??) on 25-Июн-11, 14:25 
> А что, кто-то еще не выбросил DES на помойку?

Solaris хотя бы. Возможно и еще какой некроЫнтерпрайз.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Аноним (??) on 28-Июн-11, 19:24 
Ошибаешься, анон. В Солярисе это дефолтный алгоритм, но _не единственный_. Уже два года как поддерживается не только MD4 и BF, но и SHA256 и SHA512. Поскольку Солярис сертифицирован на FIPS-140-2.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "В рамках проекта John the Ripper найдены упрощенные выражени..."  +/
Сообщение от Аноним (??) on 28-Июн-11, 19:25 
> Ошибаешься, анон. В Солярисе это дефолтный алгоритм, но _не единственный_. Уже два
> года как поддерживается не только MD4 и BF, но и SHA256
> и SHA512. Поскольку Солярис сертифицирован на FIPS-140-2.

Опечатался. MD5, конечно же.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру