urn:lj:livejournal.com:atom1:llivejo Нет, не надо звонок другу. Я возьму помощь Зла. © ague Сварщик Ненастоящий 2009-10-31T10:31:39Z urn:lj:livejournal.com:atom1:llivejo:88948 2038-01-19T03:14:07Z 2009-10-31T10:31:39Z (уныло):<br />— Меня зовут Версус, и у меня проблема.<br />(нестройный хор):<br />— Здравствуй, Версуc...<br /><br />У сисадминов много паролей, положение обязывает. Даже личные пароли должны быть разными для пущей безопасности, а уж корпоративные точно не повторяются, да еще и меняются всё время. Сотни, если не тысячи их. В памяти такое держать невозможно, записывать в открытом виде — небезопасно, хранить в зашифрованном виде и перешифровывать каждый раз при изменениях — неудобно. Остается использовать какой-нибудь <a href="http://en.wikipedia.org/wiki/Password_manager">менеджер паролей</a>, который можно держать на постоянно доступном носителе или устройстве. Удобно, безопасно. Запомнил один в меру сложный мастер-пароль, а остальные смотреть и менять легко и приятно.<br /><br />Ближе к делу. Когда-то давным-давно я сконфигурил некоторые корпоративные железки, выставил пароль на них, записал в менеджер паролей, которым в то время у меня был <a href="http://gnukeyring.sourceforge.net/">Keyring for PalmOS</a>. Палм-то тогда интенсивно использовался, сначала Palm Pilot, купленный на Молотке в 1999-м, потом Palm m100. Это сейчас в любом телефоне календарь есть, а тогда незаменимая вещь была: напоминалки, контакты, тексты, пароли.<br /><br />Потом году в 2005-м от Палма я отказался, пароли все экспортировал <a href="http://hoenicke.ath.cx/keyring2-pre/">утилиткой</a>, часть записал куда-то, но уже ничего удобного для постоянного использования найти не удалось. N800 тогда еще не было, в телефоне пародия какая-то, а не хранилище паролей, на десять паролей всего. В тот период много паролей в открытом виде хранилось, часть потерялась, ужас-ужас-ужас.<br /><br />Ну а на этой неделе срочно понадобилось залезть в девайсы, пароль ни у кого другого не сохранился. Поднял старый бэкап, нашел в базе Keyring нужную шифрованную запись, само название записи-то в незашифрованном виде хранится. И...<br /><br /><a name="cutid1"></a>И всё. Мастер-пароль давно забыт, в файле-базе Keys-Gtkr.pdb хранится только 20-байтный hash в виде [4 байта <a href="http://en.wikipedia.org/wiki/Salt_%28cryptography%29">salt</a> и 16 байт md5($salt.$passwd)], для проверки правильности введенного мастер-пароля. Сами записи шифруются по алгоритму 3DES ключом, полученным из мастер-пароля.<br /><br />Вроде и MD5, и 3DES уже считаются небезопасными, однако в данном случае это не помогает: для MD5 найдены только способы быстрее искать коллизии, пароль из MD5-хеша восстановить нельзя, можно только найти готовый, в заранее вычисленных таблицах MD5, в чьих-нибудь «<a href="http://en.wikipedia.org/wiki/Rainbow_table">радужных таблицах</a>». А если хеш «соленый», как в данном случае (salt перед паролем), то готового хеша точно не существует, найти пароль можно только брутфорсом, полным перебором всех комбинаций всех возможных в пароле символов.<br /><br />3DES тоже еще крепок, нет атак, которые позволяют сократить пространство перебора его 112-битного ключа, а это ~10³⁴, даже несмотря на known plaintext. Не получается. Самый быстрый способ — «в лоб», причем 3DES медленнее, перебирать надо MD5, им целостность больших файлов проверяют, значит быстрый. Попутно выяснилось, что не так прост md5crypt, которым пароли нынче шифруют, FreeBSD-совместимые, те самые, что в /etc/shadow лежат, да-да, и в любом линуксе тоже. Так вот, этот md5crypt - это <em>тысяча раз</em> MD5, c подстановками пароля и соли по ходу дела.<br /><br />Значит, брутфорс. Про тот старый мастер-пароль ничего не помню. Помню только что геморройно было его <a href="http://en.wikipedia.org/wiki/Graffiti_%28Palm_OS%29">росчерками-граффити</a> вводить. Маловероятно, что он был больше 12 символов, но уж 8 никак не меньше, я ж параноик. Символы пунктуации вряд ли в нем были, но заглавные буквы и цифры - наверняка. Итого по меньшей мере 62⁸, около 4.5 * 10¹⁴ вариантов. <br /><br />Стал искать переборщики паролей, вспомнил о John The Ripper. Нашел <a href="http://www.openwall.com/lists/john-users/2009/08/31/2">свежие патчи к нему</a>, умеющие перебирать именно нужный мне вариант md5($salt.$passwd), там это называется "md5_gen(4)". Скорость перебора близка к обычному raw MD5 — делов-то, перед пробуемым паролем несколько байт неизменяемой соли вставить. Жаль только вот, что даже на двухядерном современном процессоре быстрее чем 2.4 миллиона паролей в секунду перебрать не получится, значит для полного перебора даже восьмибуквенного пароля нужно больше тысячи дней. FAIL.<br /><br />Поискал, как можно распараллелить перебор. Посмотрел на MPI-патчи, решил что больше десятка машин не смогу на это дело подрядить, все равно не меньше ста дней получается. Где-то в обсуждении наткнулся на упоминание использования проца видеокарты в брутфорсе. Поискал, нашел <a href="http://3.14.by/ru/read/md5_benchmark">MD5-переборщик</a>, на видеокарте Nvidia перебирающий 350 миллионов паролей в секунду. Это совсем другое дело, неделя на полный перебор!<br /><br />Однако моего варианта md5($salt.$passwd) он не умеет, исходников нет, <a href="http://3.14.by/forum/viewtopic.php?f=6&amp;t=48#p4473">автор не отвечает</a>. Посмотрел на аналоги с открытым кодом, <a href="http://bvernoux.free.fr/md5/">Vernoux GPU md5_crack</a>, <a href="http://sghctoma.extra.hu/index.php?p=entry&amp;id=11">olcrack</a>, ни у кого такого нет. У платного <a href="http://www.insidepro.com/eng/egb.shtml">Extreme GPU Bruteforcer</a> есть, 155 миллионов паролей в секунду.<br /><br />Вот, думаю что делать. Купить GeForce GTX 250 за сто евро и Extreme GPU Bruteforcer за €40. Настроить всё и надеяться, что за неделю пароль найдется. Или заплатить кому, у кого железо помощнее?<br />