Радужные таблицы

Оно?

эмм...нет, интересует это: http://ru.wikipedia.org/wiki/Радужная_таблица

Английскую вики посмотри, там алгоритм разобран и куча ссылок.

сегодна на хабре было.

Оно актуально после появления GPGPU?

более чем.

Читаем ВИКИ

«К примеру для паролей длиной не более 8 символов, состоящих из букв, цифр и специальных символов !@#$%^&*()-_+= захешированных алгоритмом MD5 таблицы займут 596 Гб»

Для примера, на топовой видеокарточке 8 символьный MD5 раскроется за час при скорости 9 миллиардов PPS пруф

И в каком месте оно актуально?

И в каком месте оно актуально?

ты немного не понял принцип работы: в радужной таблице сохраняются _не все_ пароли/хеши, большинство паролей вычисляется. Т.е. РТ это совсем не база данных типа хеш-пароль. Если у тебя имеется мощный вычислитель, ты можешь сделать более компактную таблицу, которые помогут тебе _быстро_ найти пароль, если ты ВНЕЗАПНО сольёшь чью-то БД с хешами. Проблема в том, что сейчас уже все хранят пароль с соль... У меня вот соль как раз в 8 символов, т.ч. считай сам, сколько ты будешь подбирать даже 3х символьный пароль. Ну а предварительно созданная РТ поможет тебе значительно сократить время поиска.

Проблема в том, что сейчас уже все хранят пароль с соль

Скажи это LinkedIn или LastFM. Хотя да, они уже хранят с солью.

9 миллиардов PPS пруф

это не пруф. Пруф будет как раскроешь 1c7647d634d17bc63ecd18378d10b006 (это md5 8и символьного пароля)

Если я солью базу, то и соль тоже найду, нет?

это не пруф.

Скрин всемирно известной утилиты не пруф? Вобщем я написал что хотел, дальше продолжать лом

http://habrahabr.ru/post/145820/#habracut

Если я солью базу, то и соль тоже найду, нет?

найдёшь. Только длинна пароля значительно увеличится. Обычно юзеры ставят пароли из 5..6и символов, и это ломается на раз. Но если есть ещё и соль, то длинна пароля увеличивается. Раза в 2 как минимум.

Скрин всемирно известной утилиты не пруф?

меня мало волнует её известность - если такой умный, возьми и подбери пароль по хешу. Всего 8 символов там, делов-то на час по твоему...

И да, вспоминается старая история про всемирно известный суперархиватор. Сжимает лучше всех, инфа 100%. Правда декомпрессор ещё недоделали...

Вобщем я написал что хотел, дальше продолжать лом

слив засчитан. В следующий раз иди в толксы, там таких как ты много.

уже было. ТС просил _годные_ статьи.

Да, интересуют именно годные статьи. Что-нибудь в духе Брюса Шнайера/Нильса Фергюсона...
Английскую вики сейчас поизучаю, спасибо.

Всего 8 символов там, делов-то на час по твоему...

Вы выдираете фразы из контекста. Я написал: радужная таблица, для md5, состоящих из букв (английских), цифр и 10 спецсимволов будет занимать 500 гигов. Для примера, md5 c таким же чарсетом на топовой видюшке будет вломан довольно быстро, то есть смысла хранить эти 500 гигов и в таблицах нет. Вы же мне впариваете какой-то md5 c непонятно каким чарсетом, да еще и с солью и говорите, что это тоже самое и я должен открыть за час. Вы видите между ними разницу или вам только потроллить?

меня мало волнует её известность

Это самая известная прога, то что вы ее не знаете, уже о многом говорит.

слив засчитан. В следующий раз иди в толксы, там таких как ты много.

Только тролли - звездодрочеры видят разницу между толксами и другими разделами. Я только сейчас заметил, что топик не в толксах.

Вы выдираете фразы из контекста. Я написал: радужная таблица, для md5, состоящих из букв (английских), цифр и 10 спецсимволов будет занимать 500 гигов. Для примера, md5 c таким же чарсетом на топовой видюшке будет вломан довольно быстро, то есть смысла хранить эти 500 гигов и в таблицах нет. Вы же мне впариваете какой-то md5 c непонятно каким чарсетом, да еще и с солью и говорите, что это тоже самое и я должен открыть за час. Вы видите между ними разницу или вам только потроллить?

1. А если у меня нету топовой видюшки, зато есть винт на 1ТБ? Видюшка НАМНОГО дороже.
2. md5 уже давно не считается годной хэш-функцией. Сколько по времени на топовой видюшке займет взлом SHA1/Blowfish/AES-256/etc.?

2. md5 уже давно не считается годной хэш-функцией. Сколько по времени на топовой видюшке займет взлом SHA1/Blowfish/AES-256/etc.?

В разы быстрее, чем генерация таблиц для них

есть винт на 1ТБ?

Лет 5 уйдет, чтобы его заполнить ПРУФ

(ИМХО) Их быстрее скачать, чем делать http://www.freerainbowtables.com/en/tables2/

Вы выдираете фразы из контекста. Я написал: радужная таблица, для md5, состоящих из букв (английских), цифр и 10 спецсимволов будет занимать 500 гигов. Для примера, md5 c таким же чарсетом на топовой видюшке будет вломан довольно быстро, то есть смысла хранить эти 500 гигов и в таблицах нет. Вы же мне впариваете какой-то md5 c непонятно каким чарсетом, да еще и с солью и говорите, что это тоже самое и я должен открыть за час. Вы видите между ними разницу или вам только потроллить?

не получается? соли там нет, там 8 символов. Вы утверждали, что вы, со своей утилиткой («всемирно известной», нотариально заверенный скриншот прилагается) сломаете хеш за час.

слили.

Это самая известная прога, то что вы ее не знаете, уже о многом говорит.

кто сказал, что я про неё не знаю? на скрине видно, что запущена она под ещё более известной утилитой cmd.exe. Вы это во всемирно известном журнале хацкер прочитали? Может стоит сначала попробовать? Не? Я вот попробовал...

Только тролли - звездодрочеры видят разницу между толксами и другими разделами. Я только сейчас заметил, что топик не в толксах.

я пишу на ЛОР уже много лет, и регился потому, что тут войну объявили анонимусам. Регился тоже не вчера, а звезда у меня одна исключительно потому, что я говорю то, что думаю (часто отвечаю на удалённые комменты & etc), т.ч. на звездодрочера я никак не тяну - за 2 года мог-бы и поболее звёзд набрать.

1. А если у меня нету топовой видюшки, зато есть винт на 1ТБ? Видюшка НАМНОГО дороже.

на самом деле, для взлома ОДНОГО пароля нет никакой разницы, что применять, мало того, лучше ломать напрямую, радужные таблицы == взлом загодя, т.е. вы _предварительно_ создаёте таблицу, что-бы потом быстренько всё сломать.

2. md5 уже давно не считается годной хэш-функцией. Сколько по времени на топовой видюшке займет взлом SHA1/Blowfish/AES-256/etc.?

md5 вполне годная, её ещё никто так просто не взломал. Не слушайте этих ламо, начитавшихся журналов «хацкер» - выше приведён md5 хеш, и его расшифровки пока ещё нет. Очевидно, те, кто говорят, что md5 не годна, либо ничего не понимают, либо сознательно врут.

Конечно взлом 3х-4х символьного пароля занимает минуты-десятки минут на третьем пне, однако, пароль в 6 символов с такой-же суммой пока ещё недоступен для тупого перебора. И GPU тут помогает слабо.

2. md5 уже давно не считается годной хэш-функцией. Сколько по времени на топовой видюшке займет взлом SHA1/Blowfish/AES-256/etc.?

В разы быстрее, чем генерация таблиц для них

тут вы правы. Нет смысла создавать таблицы для взлома пароля по известному хешу. Однако, вы можете потратить год на составление таблицы в 10000Гб, но за то, потом, слив БД с хешами, вы можете за несколько минут раскрывать достаточно длинные пароли из этой БД. Наличие GPU ничего тут не меняет - радужные таблицы тоже можно создавать используя GPU. Или скажем используя не один, а Over9000 компьютеров - эта задача легко распараллеливается.

Лет 5 уйдет, чтобы его заполнить

это не пруф.

(ИМХО) Их быстрее скачать, чем делать http://www.freerainbowtables.com/en/tables2/

вы уже попробовали? хеш выше, почему я не вижу пароля?

вы уже попробовали?

1)Я уже второй пост пишу про чарсет. То что про час говорил только с фиксированным чарсетом. Без его указания сравнивать два метода смысла нет.

Их быстрее скачать,

Я качал через инет и по 500 гигабайт, но когда действительно нужно было, а не для разрешения бессмысленного спора.

под ещё более известной утилитой cmd.exe.

Ну так под линь дров для карточек нет, я что ли в этом виноват, что их не написали и под линь не брутят? Было бы преимущество в скорости, все бы на него пересели сразу.

1)Я уже второй пост пишу про чарсет. То что про час говорил только с фиксированным чарсетом. Без его указания сравнивать два метода смысла нет.

почему? GPU не умеет русские буквы что-ли? Или РТ не умеют? Или РТ «не умеют» хуже, чем GPU? Чарсет там - русские/английские буквы и цифры. Это что-то меняет, кроме того, что использовал-бы я только латиницу, любой дурак уже давно-бы вскрыл эту md5 используя общедоступные радужные таблицы(их даже и качать не надо, так работают). Но вы же утверждаете, что у вас за час перебирается?

Я качал через инет и по 500 гигабайт, но когда действительно нужно было, а не для разрешения бессмысленного спора.

никто не предлагает ничего качать, просто затрать час рабочего времени _своей_ супер-утилиты.

Ну так под линь дров для карточек нет, я что ли в этом виноват, что их не написали и под линь не брутят? Было бы преимущество в скорости, все бы на него пересели сразу.

поставь венду, делов-то? пруфскрин-то ты как-то сделал? Или в GIMP'е? А скорее всего просто скопипастил из журнальчика хацкер...

Поскольку идет тупак и непонимание, откуда взялся час, я покажу рассчеты: при чарсете в 48 символов для перебора количество вариантов пароля будет 48^8 степени (плюс еще мелочь которую я не считаю,). Это дает нам 28179280429056 вариантов, который при скорости в 9 миллиардов паролей в секунду подбирутся за час. Когда я делал этот рассчет, я естественно брал чарсет в 48 символов (именно для сравнения с таблицами из википедии). Вы уже 3 пост подряд мне даете непонятно какой хеш без чарсета и говорите про час времени. Если там чарсет 256, то количество вариантов будет 256^8, это много. Но при таком чарсете и таблицы будут занимать не 500 гигов, а эксабайты, так что они в любом случае сливают. Далее, по ссылке, что я дал в посте есть боинк кластер

Active machines 3939 Online machines 2488 Current CPU power 18348 GIOPS Last 24 hours 2 million chains Current speed 0.01 bil links/second Data growth 0.03 GB

То есть чуваки с кластером в 3939 активных машин за день набили 0.03 GB ГИГАБАЙТа таблиц. Любому, знакомому с калькулятором, понятно, что аналогичная генерация таблиц на одной машине это бред.

Оно актуально после появления GPGPU?

более чем.

Вобщем в этом топике я показал, что таблицы не актуальны (ну кроме случаев, когда вы их не сами делали, а взяли откуда нибудь или по ним онлайн пробили пароль). Дальше я писать не буду, кому надо поймет.

Вы уже 3 пост подряд мне даете непонятно какой хеш без чарсета

ладно, [0-9a-zа-я] это у нас 69 символ. А откуда 48? Просто буквы-цифры дают 36, а БоЛьШиЕ-маленькие 66 символов.

Вобщем в этом топике я показал, что таблицы не актуальны

не было такого. Для такого маленького набора символов (48) уже существуют радужные таблицы в свободном доступе, и они работают намного быстрее часа.

Ну а более быстрые (или более компактные) таблицы можно использовать с GPU, вот:

http://www.project-rainbowcrack.com/

RainbowCrack for GPU

RainbowCrack for GPU software uses GPU from NVIDIA for computing, instead of CPU. By offloading computation task to GPU, the RainbowCrack for GPU software can be tens of times faster than non-GPU version.

The software package below is a demonstration and only smaller key spaces are supported. RainbowCrack for GPU software with support of larger key space is available for purchase in this page, bundled with ready to work rainbow tables.

Дальше я писать не буду, кому надо поймет.

да я тоже не буду. Ну как вы не можете понять одной простой вещи: радужные таблицы не ускоряют подбор паролей. Просто пользуясь РТ вы можете год делать таблицу, а потом этой таблицей взломать любой пароль(из заданного множества) за секунду. И GPU и квантовый компьютер тут ничего не поменяют, просто на третьем пне надо было час подбирать 5и символьный пароль, а вот с хорошей GPU можно перебрать за час 8и символьный. А с РТ всё остаётся в точности так-же, время из ниоткуда не появляется и не исчезает, грубо говоря, мы запоминаем некоторые результаты перебора, причём так, что-бы покрыть некоторое подмножество ключей.

Я посмотрел статью в вике, действительно, там написано 596Гб и 3года. Однако, это для третьего пня. С использованием GPU можно сделать таблицу значительно быстрее. Или значительно меньше, как вам будет угодно. Если делать слишком малую таблицу, то просто возрастает время собственно подбора, потому цифру 596 не следует воспринимать как абсолют, это просто пример. В пределе можно обойтись вообще без таблицы, и тогда для подбора паролей потребуется около года на третьем пне. Ну а с такой таблицей всего 20 минут.

И да, что-бы обратить всего _один_ пароль РТ не нужны, время их построения в разы больше времени тупого перебора. И так было всегда, и так оно и останется впредь.

Таблицы а) генерируются один раз; б) _не_ содержат всех хэшей. В общем, налицо незнание матчасти.