Wi-Fiネットワーク：侵入と保護。 3）WPA。 OpenCL / CUDA。 マッチング統計

バスタ・カラプジキ、ダンスは終了しました。

前のパートでは、ワイヤレスネットワークの「保護」（SSID、MACフィルタリングの非表示）および保護（WPS）を回避する「不正」な方法を詳細に検討しました。 そして、それはケースの半分で動作しますが、時にはもっと頻繁に-ゲームが終了して重い砲撃をしなければならない場合もあります。 個人的な生活とクラッカーの間に、最も弱いリンクが表示されます：WPAネットワークからのパスワード。

この記事では、ハンドシェイククライアントアクセスポイントのインターセプト、CPUとGPの両方を使用したパスワードの列挙、さらに、従来の単一システム、EC2クラスター、さまざまなタイプの最新GPUのデータの速度に関する統計の概要を示します。 それらのほとんどすべては、私自身の経験に支えられています。

記事の終わりまでに、 2〜3文字のa〜zの怠coupleな20桁のパスワードが、範囲の256の値をすべて使用しても 、8桁の猛烈なパスワードよりも耐性がある理由を理解できます 。

目次：
1） 素材
2） カーリー。 SSIDを非表示にします。 MACフィルタリング。 Wps
3） WPA。 OpenCL / CUDA。 マッチング統計

PMK、PTK、 RPG

いつものように、理論から始めましょう。 厳密に言えば、パスワードを選択するためにパスワードは必要ありません。 練習前に怠慢な人はこのセクションをスキップできます。 しかし、私の意見では、クライアント認証とデータ暗号化の実行方法を知ることは非常に有用であり、攻撃者としてこのプロトコルを解読しようとする際に経験するすべての困難を説明します。 すべての承認パッケージの形式の解析を含む、より理解しやすい英語の詳細な説明は、 ここにあります 。

WPAおよびWPA2（最初はIEEEドラフトに基づいており、2番目は最終バージョンに基づいていますが、この場合は両方とも同義語と見なすことができます）は、かなり巧妙な鍵交換スキームを使用します。 むしろ、彼らの非交換 。 最初の部分から覚えているように、ハッカーはこれらの値をインターセプトし、オフラインモードでそれらから元のキーを取得しようとするため、つまり、アクセスポイントまたはクライアントと通信できなくなるため、保護の最も弱い点は暗号化されたキーであってもキーを転送することです。 WPA開発者は、暗号化されたパスワードとオープンパスワードの両方の交換を排除しました。 これがどのように機能するかを以下に説明します。

最後から始めましょう。 暗号化されたデータパケットを送信するとします。 これを行うには、データ自体と、AES（CCMPで使用される）などのアルゴリズムがそれらを消化できない暗号化形式に変換するキーが必要です。 暗号化された文字列と暗号化に使用されたキーを同じアルゴリズムに渡すことで、データを復号化できます。

最も簡単な方法は、ワイヤレスネットワークのパスワードをキーとして使用することです。 ただし、これには深刻な問題が伴います。

• 計算が速すぎる -ソースデータの最初のバイトがわかっている場合（ほとんどの場合、先頭に標準ヘッダーがあるため）、簡単な検索により、傍受したパケットを復号化して、異なるパスワードを置き換えて、出力で何が起こったかを確認できます-正しいヘッダーに類似したものが含まれている場合、おそらく元のパスワードが見つかりました。
• 終身保証 -パスワードを何らかの方法で習得した場合、管理者がネットワークキーを変更するまで、以前に送信され、後で転送されるすべてのものを解読できます。 そして、実践が示すように、ルーターを変更するときでさえ、人々は通常古いパスワードをその上に置くので、彼らの慎重さを期待することは、 ええと 、慎重ではありません。
• 好奇心の強い隣人からの保護の欠如 -ネットワークにログインできる場合、他のクライアントのパッケージを読み取ったり、任意に変更したりすることを妨げるものは何もありません。 スリッパは、他のすべてのクライアントのデータを暗号化するために使用されるすべてのクライアントで同じであるためですこのネットワーク

それはまるで私たちと最終目標の間にたくさんのドアがあり、それぞれが内部に通じているようです。 ドアはネットワーククライアントであり、「内部」はネットワークそのものです。 同じキーがすべてのドアに適合する場合、次のドアを通って、そこで何が起こるかを見ることができます。

2番目と3番目の問題は、キーにランダムな値を追加することで簡単に修正できます。この値は、セキュリティで保護された接続が開始されるたびに、またはその操作中にも変わります。 最初は非常に長いキーです。 しかし、それから疑問が生じます：それが入力する人でない場合、 誰がそれを覚えているでしょうか？次に、短いキーから（ユーザーから）この長いキーを取得し、ブルートフォース攻撃を受けない方法さえありますか？

これには2つの標準的な解決策があります。ログイン試行回数に制限を導入するか、最終的な文字列を取得するプロセスを遅くするための多重暗号化のいずれかです。 最初のオプションはオンライン攻撃（通常はWebサイトのログインフォーム）に適しており、ハッシュ自体が既に「漏出」している場合は役に立たないため、適切ではありません。 しかし、2番目はまさに私たちの場合です。

ただし、ここには問題があります：パスワードを使用してソース行で特定のアルゴリズムを10,000回実行する場合、すべての可能なパスワードの組み合わせで同じアルゴリズムを実行した後、ハッカーが辞書を作成する可能性があります。ハンドシェイクをインターセプトし、彼がすでに計算したテーブルに従って、そのハッシュを確認します。 テーブルにそのようなハッシュがある場合、それが計算されたソース行もあり、彼に知られていることを意味します。 そして、同じテーブルを使用して他のデータを復号化できます。 このようなテーブルは、レインボーテーブルと呼ばれます。 この手法は、古いフォーラムや他のPHPエンジンの盗まれたデータベースでパスワードを選択する際に特に人気がありました。

これは、「塩」を追加することで解決されます。これは、パスワード自体が一致しても、計算されたハッシュを異なるものにするランダムまたは多かれ少なかれユニークな文字列です。

WPA標準の作成者がこれらのタスクにどのように対処したかを見てみましょう。


上の図は、無線（クライアントとアクセスポイント）で並行して発生するプロセスを反映したものであり、無線で送信されるものではありません-これは重要であり、以下でさらに重要です。 計算を開始する前でも、クライアントとAPの両方にはすでに次のデータがあります。

• 管理者が指定したネットワークパスワードは、スキーム12345678にあります （ 無意識の管理者 ）
• ネットワーク名（SSID） -同様に管理者によって指定された-mynet図
• クライアントMACアドレス -スキームFF：EE：DD：...
• アクセスポイントのMACアドレス（BSSID）は、図11:22:33にあります：...

すべては、「ユーザーからの」「短いパスワード」がワイヤレスネットワーク名の秘密の要素を追加してより長いキーに変換されるという事実から始まります。これにはPBKDFが使用されます。たくさんある場合は、Microsoftに伝えてください-Word 2007は50,000回行います）。 その結果、256ビットの文字列、つまり32バイトを取得します。 名前が異なる場合、同じパスワードを持つ異なるネットワークに対して一意であることに注意してください。 重要な結論：常に標準のネットワーク名を変更し、 ASUS、dlink、SKY、linksys 、およびその他の非オリジナル名を残さないでください。 これにより、レインボーテーブルに対する攻撃が防止され、SHA-1の4096回の反復処理を困難にします。 （公平に言えば、WPAへのそのような攻撃の適用について聞いたことがないと言わなければなりませんが、ハッカーに余分なチャンスを与えるのはなぜですか？）

上記で取得した行はPMK （ペアワイズマスターキー）と呼ばれます。 これは静的です。つまり、ネットワーク名が変更されなくてもパスワードと同様に変更されないため、データを暗号化するべきではありません。したがって、PMKとパスワード自体を使用した暗号化に違いはありません（これは問題で言及されました開始）。 したがって、パスワードを使用する場合と同様に、PMKを「シャイニング」しないでください。

したがって、さらに、このデータ転送セッションに特に使用する一時的で非常に長く非常に一意のキーを取得する必要があります。 それは一時的なキーです。 つまり、 PTK （ペアワイズトランジェントキー-短期ペアキー）です。 このため、同じPBKDFアルゴリズムが使用されますが、入力で5つの値が転送されます。

1. PMK-パスワードとネットワーク名に基づいてすでに計算されています
2. A-Nonceは、アクセスポイントがクライアントの接続要求（認証中の最初のパケット）に送信するランダムな文字列です
3. S-Nonceは別のランダムな文字列ですが、クライアントから次のパケットでAPに送信されます
4. アクセスポイントのBSSID（MACアドレス）
5. クライアントMACアドレス

したがって、5つの値を文字列にリンクし、SHA-1を使用して4096回駆動することにより、256ビットのPTKを取得します。 クライアントからAPへ、およびその逆のすべてのデータを暗号化するために使用されるのは彼です。

最後の手順は、クライアントが実際にネットワークへの正しいパスワードを持っていることを確認することです。これにより、すべてが開始されます。 説明した操作は、2つのnonceの転送を除いて、両側で独立して、相互にやり取りすることなく行われることを忘れませんでしたか？ この場合、初期データが異なるため、当事者は異なるPTKを受信します。たとえば、クライアントがトラフィックを暗号化してアクセスポイントに送信すると、PTKがクライアントによって暗号化されたキーと異なるため、暗号化を解除できません。 ここでの異なる「初期データ」は、まず第一に、ネットワークのパスワードです。これは、不安定な要素、つまりMACアドレス、ネットワーク名などは「ハードウェア」に由来するためです。問題。

送信されたデータパケットをチェックするために、 MIC-メッセージ整合性コード、またはメッセージ整合性コードが追加されます。 WPAは、HMAC-MD5（よく知られているMD5のバリエーション）を使用して計算します。 ところで、誰もがCRC32に精通しています-これはそのような目的のための別のアルゴリズムで、アーカイブ内のファイルをチェックするためによく使用されます。 結果のコードはハッシュ和とも呼ばれます。

アイデアは、ハッシュ関数（MD5、CRC、SHAなど）を任意の長さのデータストリームの入力に供給することにより、このデータストリームに固有の特定の出力行を取得することです。 当然、100％の一意性は不可能です-出力文字列が4バイトの場合、すべての可能な入力の組み合わせに対応することはできません。 ただし、アルゴリズムは、他の行がまったく同じハッシュを生成できるものを見つけることができないように設計されています（実際、CRCのような弱いアルゴリズムではそうではありません;意図的な製造ではなく、偶発的な損傷がないかデータをチェックするために使用されます）

したがって、ストリング12345を転送すると同時に、受信側が転送中にストリングが変更されていないことを確認できるようにする必要があると想像してください。 これを行うには、独自のハッシュを追加します。

 input = 1 2 3 4 5 sha1(1 2 3 4 5) = 8cb2237d0679ca88db6464eac60da96345513964 output = 1 2 3 4 5 | 8c b2 23 7d 06 79 ca 88 db 64 64 ea c6 0d a9 63 45 51 39 64 

受信すると、デバイスは受信したメッセージからハッシュを切り取り（「|」の後）、左側にあるもののハッシュ合計を計算し、両方の部分を比較します。 収束-つまり、誰の賢いペンもデータに触れていません。

...しかし、もちろん、すべてがそれほど単純ではありません。 攻撃者は、ハッシュの合計を計算するアルゴリズムを知っているため、メッセージを変更し、新しい量を計算して、古い量を新しい量に置き換えることができることに気付くのは簡単です。 どうする そして、すべてを青い炎で燃やしてください！ そして、再び「塩」を追加します。これは、受信側は知っていますが、ハッカーは知らない値です。 そうすると、彼は新しいハッシュを計算できなくなります。


この図をもう一度見てみましょう。今回は最後の行に興味があります。 MICは、 PTKとメッセージ自体のバイトストリームで構成されます。 PTKは単なる「塩」です（覚えているように、 PTKはストリーム自体の暗号化にも使用され、現在ではハッシュ和、つまりMICの計算にも使用されています）。 ストリームとPTKはHMAC-MD5で送信され、結果のハッシュはMICと呼ばれます。 メッセージとともに受信側に送信されます。受信側は、パケットをデコードし、そのMICを計算します。このMICがパケット自体で見つかったものと異なる場合、誰かが送信プロセスに入ったか、単に天気がなかったと見なし、これを破棄しますパッケージ。

そして今、注意：クライアントがネットワークへの正しいパスワードを持っていることを理解し、その結果、このPTK自体を送信せずに正しいPTKを計算しましたか？ シンプル：一方の最初のメッセージを暗号化して、もう一方のメッセージを解読できるかどうかを確認します。 同じPTKが使用された場合、解読中に受信したMICは送信したMICと一致することを意味します。 それらが異なる場合-MICは収束せず、その結果、PTKは異なり、その結果、PMKは異なり、その結果、元のパスワードは異なりました。

最後に、統合のために、実際には、ハンドシェイクを使用して無線でオープン形式で送信されるものの簡略図。


ご覧の通り、多かれ少なかれクローズドなデータの中で、IEEEのトリッキーな人間は1つのMICを転送することができました。これはPTKを使用してすでに暗号化されて送信されます。

カランバ！


（ オリジナルアート 。）

どうするか、Semenych？

簡単なレビューで、 aircrack-ngやhashcatのようなブラックマジックツールがハンドシェイクパスワードを見つけようとするときに使用するものに光を当てることを願っています。 現在わかっているように、パケットの1つ（MIC）のハッシュ和のみを手に持って、チェーン全体を巻き戻す必要があります。 つまり、次のことを行います。

1. 最初のステップは、メインネットワークキー-PMKを計算することです。 これを行うには、パスワードとネットワーク名を取得します。 後者はインターセプトされたハンドシェイクパケットから取得され（詳細は以下を参照）、最初のパケットは一度に1つずつ辞書から取得するか、利用可能なキースペース全体を「真正面から」 繰り返すことができますが、これはジェダイであり、GPUの形式で特別なストリートマジックを持っている場合のみです 。
2. 次に、 PTKが計算されます-受信したPMK（上記）からのハッシュ合計、クライアントMACアドレスとAP、およびそれらからのランダムなナンス文字列（傍受したパケットから取得）。
3. 最後に、MICから送信されたパケットの場合、MICは上記で取得したPTKに基づいて計算されますが、送信されたMICは無視されます（MIC自体を含むメッセージ全体に依存するため、このフィールドは計算前に0に設定され、そうでない場合は計算できませんあなたはこの量を知る必要がある計算のためのMICを知らずに量）。
4. 両方のMICが比較されます -それらが一致する場合-パスワードが見つかった（PTKが正しい> PMKが正しい>パスワードが正しい）、そうでない場合- 行1に移動

したがって、各反復には少なくとも8192のSHA-1計算が必要であり、MD5よりも3倍遅くなります。 これは非常にコストのかかるプロセスです。 そして、最終的には何が得られますか？

しかし、最終的には、認証を傍受した不運なクライアントの元のパスワードとPTKのみです。 これは、他の顧客のフローを読み取ることができないことを意味します-彼らは異なるPTKを持っています。 接続する前にこのクライアントが送信したデータを読み取ることはできません-また、異なるPTKがありました。 彼が次回接続した後に送信するものを読むことさえできません-結局、PTKは再び変化します！

これは非常に重要な結論です。サイクルの4番目の記事では、Wiresharkでパケットをインターセプトするときに非常に役立ちます。 この記事で説明したように、ネットワークからパスワードを取得するだけでなく、リッスンするすべてのクライアントのハンドシェイクをインターセプトする必要があります（またはARPスプーフィングを使用しますが、これは別のレベルの攻撃です）。 それはまだ仕事です。

ところで、PTKでの経験は、すべてのクライアントフローを暗号化するために常に同じキーが使用されるWEPの難しいエラーの息子です。

武器に！

理論では、私は約束します。 練習のみ-ここから昼食まで。

そのため、接続を確立するときに、クライアントとアクセスポイントの間で交換される最初の4つのパケット（各側に2つ）をインターセプトすることが再びタスクです。 要するに、それらはハンドシェイクと呼ばれます。 その後、すでに暗号化されたデータ転送が開始され、そこからは何も取得できません。 ところで、これらのパケットはEAP（またはEAPOL）プロトコルの一部であり、Wiresharkではこの名前で表示されます（シリーズの次の記事を参照）。

それらを傍受した後、私たちはそれらを自分自身に保存してからオフライン攻撃を行うことができます-つまり、ネットワークの元のパスワードを取得し、別のパスワードを試しにPMK> PTK> MICを生成し、後者を実際に送信されたものと比較します上で説明しました。

代行受信はairodump-ngを使用して行われます。これは、第2部ですでによく知っています。 パラメーターを使って遊ぶことができます。パラメーターについては同じ場所に書かれていますが、一般的に呼び出しは次のようになります。

 airodump-ng mon0 -c 5 --bssid AP_BSSID -w caps 

その前に、カードを「ハッカーモード」（モニターモード）に転送し、他のすべての操作（MAC、txpowerなどの変更-2 番目の部分を参照）を行う必要があります。

上記のコマンドでは、識別子mon0下のインターフェイスを使用して、チャネル5の攻撃されたネットワークのパケットを収集します。これは--bssid後に指定されたMACを持ち、パケットをcaps-NN.cap （デフォルトでは、多くのライブラリでサポートされている標準のlibpcap形式が使用されますWiresharkを含むすべてのオペレーティングシステムで）。 NNは一意の番号に置き換えられるため、同じパラメーターでairodump-ngを再起動すると、古いファイルは上書きされませんが、 cap-01.cap onという形式の名前になります。

攻撃対象のネットワークにBSSID 4F:B1:A4:05:5C:21があり、チャネル11にあるとします。次に、これを行います。

 airodump-ng mon0 -c 11 --bssid 4F:B1:A4:05:5C:21 -w caps 

開始後、2つのテーブルを備えた既に馴染みのあるコンソールウィンドウが開きます。 誰かが私たちのネットワークに接続するまで、ぶら下げましょう...

しかし、このプロセスを加速できます！ 読者は、既存のクライアントを切断し、認証データを再度転送することを強制できることを覚えています。これは、私たちのような落ち着きのないハッカーにとって非常に便利です。 すでにおなじみの aireplay-ngは、私たちを喜んで助けてくれます。

 aireplay-ng mon0 -0 5 -a 4F:B1:A4:05:5C:21 -c 5B:23:15:00:C8:57 

5B:23:15:00:C8:57以前に起動したairodump-ngのテーブルから取得したクライアントのMACアドレス。

すべてが正しく行われた場合、 aireplay-ngはSending directed deauthのフォームの5行を表示し、 airodump-ngのウィンドウで、「失われた」パケットの数が急速に増加することを確認する必要があります（ Lost列）。 数千に及ぶ可能性があります。

その後、私たちの親愛なるクライアント、彼が私たちの送信機の範囲内にあり、それがアクティブだった場合（デバイスがネットワークに接続されたままでも使用されず、切断しても強制的に再接続されない場合）、すぐに再び認証を開始し、これらのパケットをキャッチしますairodump-ngは、 [ WPA handshake: 4F:B1:A4:05:5C:21 ] （ハンドシェイクがインターセプトされたネットワークのMACアドレス）という碑文で右上隅に勝手に報告します。

これが発生した場合-攻撃が成功した場合、 airodump-ngを終了し、受信したcaps-01.capをUSBフラッシュドライブにコピーして巻き戻すことができます。 なぜ、私たちは手に鍵を持っています...

暗号化されています。

パスワード推測

ハンドシェイクの最初の部分は、通常、特にアクティブなクライアントが多数あるネットワークで最も簡単です。 MICおよびその他の認証データを含むパッケージを受け取りました。 ここで、このロックに適合するキーを見つける必要がありますか？

選択には大きな計算能力が必要であり、そのためにEC2クラスターをレンタルしたり、独自のATIファームを組み立てることもできます。 または、ユーザーがSSZBであることを期待して、通常のCPUで最も一般的なパスワードの辞書を介してパッケージを単純に実行できます。 ちなみに、後者は非常にうまくいく可能性があります-私がテストした11のネットワークでは、1つは「12345678」、2つ目は「123456789」、もう5つは8桁のパスワードを使用しました。 同時に、残りの4つのうち3つは、さらに2日でWPSを介してハッキングされました（ 2番目のパートを参照）。 そして、最後のものは私のものでした （実際はそうではありませんでしたが、私はまだ彼女のパスワードを見つけることができませんでした。）

そのような間違いを繰り返さないでください。

もう1つの一般的なオプションは、電話番号（数字のみ）です。 企業、店舗、カフェのチェーンに特に関連します。 通常、このような「パスワード」は、機関の入り口ですぐにハングアップします。 コードが既知の場合、 crunch 10 10 -t 063%%%%%%% （ RaSta ）を介してすべての数値を生成できます。

aircrack-ng

繰り返し処理を行う最も簡単な方法。 aircrack-ngはCPUのみを使用しますが、マルチスレッドを完全にサポートしています。 WPAネットワークの辞書値を列挙します（WEPをクラックすることもできます）。

Kaliには/usr/share/wordlists/に辞書のセットが付属していますが、必要に応じて、メガバイトから数十ギガバイトまでの任意のサイズのインターネットで簡単に見つけることができます。 WPA-PSK Wordlist 3 Final 、および8桁の数字パスワードのすべての組み合わせから生成された辞書は、 crunch 8 8 1234567890を使用して取得したものcrunch 8 8 1234567890

 aircrack-ng -w /usr/share/wordlists/fasttrack.txt caps-01.cap 

/usr/share/wordlists/fasttrack.txt付属）-パスワード付きの辞書ファイルへのパス、1行に1つのパスワード。 これはWPAの最小長であるため、8文字より短い行は無視されます。

私のi7 3840QM 4x3.8 GHzでは、 aircrack-ngは毎秒4700個のパスワードを圧縮します。 したがって、8桁のすべての可能な組み合わせを完全に列挙するのに必要な時間を計算できます。

 (10^8) / (4700 * 3600) = 5,91  

次のように、実際に選択（ベンチマーク）せずに選択速度を確認できます。

 aircrack-ng -S # 4713 k/s 

そのため、選択で使用されるコアの数を確認できます。

 aircrack-ng -u # No CPU detected: 8 (SSE2 available) 

合計で6時間で、ハイエンドのモバイルCPUで1,000万個のパスワードを整理できます。 このような長さのデジタルパスワードは、深刻な保護と見なされるべきではありません。さらに、数十倍から数百倍の速度を実現するGPUを適用すると、パスワードは数分で壊れます。 それについては以下。

攻撃が成功した場合、つまり、 aircrack-ngがパスワードを見つけた場合、操作が完了し、画面に楽しいKEY FOUND! [ ... ]が表示されますKEY FOUND! [ ... ] KEY FOUND! [ ... ] -書き留めて、ネットワークに入るために使用します。 また、見つかったパスワードを-l pass.txtを使用してファイルに書き込むこともできます。これは、 aircrack-ng ... -l pass.txt &としてバックグラウンドで検索を開始するときに役立ちaircrack-ng ... -l pass.txt &

上記の式の説明：

• 10 ^ 8-10の8の累乗、可能な組み合わせの数。 __ ^ _として計算されます。 たとえば、小文字のラテン文字の6桁のパスワードの場合、26 ⁶ = 308 915 776の組み合わせになります。 ところで、これはパスワードの長さが可能な文字数よりもはるかに重要であることを明確に示しています。「 this weirdo voodoo 」を覚えるのは「 0.o@&z%_ 」よりもはるかに簡単です-一方、最初の組み合わせは10 ²⁵ （10個と24個のゼロ）。
• 4700-1秒あたりのパスワード比較の数（ブルートフォース）
• 3600-1秒あたりのパスワードから1時間あたりのパスワードへの分割結果のキャスト（60秒* 60分）

比較するその他の計算：

  (26^8) / (4700 * 3600 * 24) = 514    8-   az (10^10) / (4700 * 3600 * 24) = 24,6   10-   (26^10) / (4700 * 3600 * 24 * 365) = 952   10-   az (10^12) / (4700 * 3600 * 24 * 365) = 6,7   12-   (10^14) / (4700 * 3600 * 24 * 365) = 674,6   14-   

CPUだけについて話している場合、長い行の統計を計算しても意味がありません。 しかし、結論を出す前に、ATI Goliathについて知るまで待ちます。

世界はクレイジーまたはGPGPU-汎用GP

ゲームが暖かくてランプのようであり、GPUがそれぞれ4 MBのメモリを意図した目的に使用していた時代は長い間過ぎていました。 今日、それらはあらゆるものに使用されているようですが、ゲームには使用されていないようです。 少なくとも1つのシステムで8つのR290Xを使用しているゲーマーは見ていませんが、鉱山労働者、フォルダー、およびラック全体を備えた他のオタク-十分すぎるほどです。 なぜそう

デザイン機能のグラフィックチップは、CPUのアーキテクチャとは根本的に異なります。 CPUと4、8、16コアについて話している場合（サーバーは使用しません）、GPUの場合は、数千の独立したコアについて話します。 グラフィックスを処理するとき、大きな配列（行列）で操作をすばやく実行する必要があります。 そして、暗号化に必要なのはまさにそのような操作です。 したがって、GPはハッシュまたは暗号通貨マイニングの計算に使用できます。

GPは1つのシステム内で組み立てることができ、システムをクラスター化して「ファーム」を作成できます。 従来のCPUとパフォーマンスが大幅に分離されているため、4つのCPUを搭載した10個のシステムよりも、4つのGPUを搭載した10個のシステムのファームを構築する方がはるかに効率的です。

ASICとFPGAのみが優れたパフォーマンスを発揮できます-特定の計算を実行するようにプログラムできる特別なデバイスですが、それらに煩わされて別個のソフトウェアを作成する必要があり、GPとSDKは長い間存在し、比較的簡単に書き込みを開始します。 特に魅力的なのは、ATIカードです。アーキテクチャにより、これらのタスクに特化したnVidiaのカードよりも桁違いに優れており、同時にはるかに安価です。 AMDのエンジニアがLTCに夢中になっていること以外はそうではありません。

タスクのコンテキストでは、GPを使用して2つの素晴らしいプログラム： hashcatとpyritを使用してパスワードを作成できます。

hashcatは、さまざまなアルゴリズム（MD5、SHA、WPA、および数十）を使用してさまざまな形式のハッシュを即座に計算し、辞書の単語にルールを適用し、さらには塩を追加するための閉じた無料のユーティリティです。 私の意見では、これは今日存在する最高のものです。 閉じられたプロジェクトを少し動揺させますが、著者は理解できます-これは多くの作業です。

hashcatは次の3つのプログラムで構成されています。hashcat （GPUを使用せず、テストでは速度がpyritに匹敵し、一般にどのCPUよりも高速に動作するaircrack-ngよりわずかに遅い）。 OpenCL（ATIのSDK）およびcudaHashcat （nVidia）のoclhashcat 。 後者の2つの機能は同じですが、GPのメーカーと一致する必要があります。 GPUカーネルはそれらなしでは認識されないため、作業の前にドライバーとSDKをインストールする必要があります。

pyritは、PythonでWPAキーを選択するためのオープンソースツールです。 一般に、快適なプログラムであり、それ自体の目的には最適です。 また、CPUと両方のGPUメーカーのバージョンもありますが、WPAでのみ機能します。 oclhashcatとは異なり、pyritはCPUとGPの両方を使用しますが、oclhashcatはGPのみを使用します。 後者の著者は、ゲインが最小であり、プログラミングコストが非常に高いという事実によってこれを説明しています。

ドライバーのインストール

それでは、このツールキットの使用方法を見てみましょう。 以下に説明するメカニズムは、Kali、CUDA、Pyritのソースと何時間も闘った後に明らかになったので、この時間を節約できることを願っています。 Kali 1.0.7 x64バージョンKali 1.0.7 x64およびバージョンcuda_6.0.37_linux_64およびNVIDIA-Linux-x86_64-331.67すべてが正常にテストされNVIDIA-Linux-x86_64-331.67 。 ラップトップはOptimus（nVidiaのテクノロジーを使用して、Intelの統合GPUを切り替えます）。 Kaliのドキュメントには、 nVidiaドライバーのインストールに関するページがあります -また、役に立つかもしれません 。

Kaliには当初、GPUを操作するためのソフトウェアがありませんでした。今日では2つの競合する標準（AMDのOpenCLとnVidiaのCUDA）があり、さらにCUDAは標準のnouveauではなくクローズドドライバーを使用しています。 したがって、すべてを自分でインストールする必要があります。

まず、Linuxカーネルソースのヘッダーを設定します。

 apt-get install linux-headers-`uname -r` 

次に、nVidiaのドライバーとCUDAのSDKをダウンロードします。 nVidia WebサイトおよびCUDAセクションからRUNファイルへのリンクを作成します。

 wget http://.../NVIDIA-Linux-x86_64-331.67.run wget http://.../cuda_6.0.37_linux_64.run 

次に、ウィンドウマネージャー（X）を終了する必要があります。実際、このマニュアル（Xサーバー/セッションのシャットダウン）での不可解なフレーズは、文字通り次のことを意味します。

 shutdown 0 

これにより、システムがメンテナンス/シングルユーザーモードになります。Kaliはrootパスワードを要求するか、Ctrl + Dを押します。後者はGNOMEの再起動につながりますが、これはまったく必要ありません。パスワード（デフォルトではtoor）を入力すると、コンソールが表示されます。私たちはそこで行います：

 modprobe -r nouveau chmod +x *.run ./NVIDIA-Linux-x86_64-331.67.run ./cuda_6.0.37_linux_64.run 

この場合、ドライバーをインストールするとき（最後から2番目のコマンド）：

1. インストーラーからランレベル3にする必要があると言われたら、[ いいえ]を選択します（telinit 3を介して取得することはできませんでした。
2. No 32- ( 64- )
3. nVidia ( nouveau ) — X , No

CUDAインストーラーの場合、nVidiaドライバーをインストールするときにnと答えます（ライセンスが承認された後の2番目の質問）-この瞬間はわかりませんが、それを介してドライバーをインストールすると、インストールは常にで終了しInstallation failedます。最初のインストーラーが成功しました。

CUDAインストーラーからの他のすべての質問にはyが回答します。サンプルは設定できますが、設定できません（約230 MBを占有します）。

インストールされたCUDAの機能をテストするには、nvcc（にあります）を実行します/usr/local/cuda/bin。エラーなしで合格した場合、すべてが機能します。

有線ネットワークインターフェイスがインストールプロセス中に切断された場合（発生する場合があります）、次のように上げることができます。

 ifconfig eth0 up dhclient eth0 

最後に、インストールに問題があり、古いドライバーを返してGNOMEを再度開く場合は、最初にnouveauをロードしてからCtrl + Dを押します。

 modprobe nouveau 

OSを読み取り専用でロードした後、ドライバーを使用したすべての操作をお勧めします（第2部を参照）。ドライバーの損傷は通常のデスクトップを非常に簡単に失い、問題を探すためにコンソールをバイパスする必要があるためです。

cpyrit_cudaおよびoclhashcatの設定

これで、ユーティリティ自体をインストールできます。hashcatはapt-get install -y oclhashcat（OpenCL / CUDAの両方のバージョンで）を介してインストールされ、pyritはソースからコンパイルされます（注：trunk現在の安定バージョンには、一部のnVidiaでコンパイルが失敗する可能性があるバグがあるため、最新バージョンを使用してください）私のカード）。pyritの

インストール（OpenCLを使用している場合- プロジェクトWebサイトのドキュメントを参照）：

 apt-get install -y libpcap-dev python-scapy svn checkout http://pyrit.googlecode.com/svn/trunk/ psrc cd psrc/pyrit sudo python setup.py build sudo python setup.py install cd ../cpyrit_cuda sudo python setup.py build sudo python setup.py install 

組み立て完了。pyritがカードを見つけたかどうか見てみましょう：

 pyrit list_cores 

成功すると、#0 GPU ...コアごとに1行、CPUコアごとに1行が印刷されます（私のシステムでは、1つのプロセッサコアがGPUによって消費されましたが、pyritは8スレッド以上をサポートしていない可能性があります）。

次に、テストを実行し、10〜20秒後にGP機能を使用しておおよその検索速度を見つけます。

 pyrit benchmark 

私のシステムでは、pyritとhashcatの両方が毎秒 10,500（GPU）+ 4,000（CPU）のパスワードを生成します。これにより、このような計算にnVidiaが不適切であることを確認できます（GeForce GTX 675MXがあります）。ATIの同様のモバイルカードは、約40,000 p / sを生成します。

したがって、pyritで検索を実行します。

 pyrit -r caps-01.cap -e MYNET -i /usr/share/wordlist/fasttrack.txt attack_passthrough 

パラメーターはaircrack-ngに似ています。一致が見つかると、pyritは終了し、キーが画面に表示されます。

起動時にACPIに関するピリットとhashcatの警告が表示される場合-計算がうまくいった場合は無視できます。私はそれらの10-15を持っています。

特定の長さのすべてのデジタルパスワードを並べ替えるには、2つの方法で実行できます。オンザフライで実行するか、ディスク上に辞書を生成します。 Kaliには辞書を生成するためのユーティリティがいくつかありますが、そのうちの1つがcrunchです：

 crunch 8 10 0123456789 | pyrit -r caps.cap -e MYNET -i - attack_passthrough 

-i- stdinからパスワードを読み取るようにpyritに指示し、8 10-文字0123456789で構成される生成されたクランチワードの最小長と最大長を指定します。ディスクに保存する辞書を生成することは意味がありません。ファイルは112 GBであり、保存できるからです。その場で生成すると反復の速度に影響しないからです。

ハッシュキャットの発売

hashcat — , , , libpcap ( airodump-ng ), — *.hccap .

.cap .hccap . : , , .hccap: online- , 5 — , ( , ).

 wpaclean clean.cap caps-01.cap aircrack-ng clean.cap -J hashcat 

hashcat.hccap hashcat , oclhashcat cudahashcat . , wpaclean ( Kali) , . , ( , aircrack , hashcat , pyrit . , , ).

hashcat oclhashcat -h . — .

( -m2500WPAハンドシェイクでのキー選択を示し、-a3はマスクマッチングモードを設定し、？d ...-単語を生成するためのマスク自体（?d文字0-9を示し、8 ?dが連続して8桁を示します）：

 oclhashcat -m2500 -a3 caps.hccap ?d?d?d?d?d?d?d?d 

同様に、辞書検索（-a0は省略可能）：

 oclhashcat -m2500 -a0 caps.hccap /usr/share/wordlists/fasttrack.txt 

そして、アルゴリズム（-m110）で計算されたファイル内のハッシュによって、パスワードの行（-a3）で単純な検索を開始します。パスワードは6桁で、形式は次のとおりです。~/hashes.txtsha1(+)[AZ] [A-Z0-9] [A-Z0-9] [A-Z0-9] [A-Z0-9] [0-9]

 oclhashcat -m110 -a3 -1?d?l ~/hashes.txt ?u?1?1?1?1?d 

最後に、この方法で速度テストを実行できます。

 oclhashcat -b 

見つかったパスワードは画面に表示され、ファイル/usr/share/hashcat/hashcat.potに書き込まれるか、GPバージョンの場合-cに書き込まれます/usr/share/oclhashcat/hashcat.pot。

ユーティリティの動作中に、ターミナルでEnterキーを押すと、現在の状態（速度、残りの％など）を表示できます。qを押すと、プログラムが中断されて状態が保存され、同じコマンドラインを使用して同じ場所から-s 1234を追加して続行できます。番号はセッション番号を示します（ユーティリティの終了時に表示されます）。

Amazon EC2

楽しみのために、AWSの2つの最も強力なクラスターであるcc2.8xlarge（32 CPUコア）とg2.2xlarge（1 nVidia Teslaおよび8 CPUコア）でWPAキーの選択を実行しました。

 g2.2xlarge = 22000 k/s [pyrit+cuda] cc2.8xlarge = 14000 k/s [aircrack-ng] 13500 k/s [pyrit] 

ご覧のとおり、nVidiaの超高価なカードでさえ、ATIの平均的なGPUのようなハッシュを計算するタスクに対応していません。実際、テスラは通常のGTXよりもさらに低速です。それは理解できる-それは完全に異なる目的を持っています。しかし、ATIがこの問題にうまく適合する理由は興味深い質問です...

そして、もちろん、32のサーバーコアはTeslaとさえ競争できません。

AMDが同様のnVidiaソリューションよりも優れているのはなぜですか？ポイントは、より多くのストリームプロセッサ（コア）であり、その結果、整数値（暗号化に不要な浮動小数点数ではない）での操作が高速になり、特に暗号化に使用できる特別な命令（BIT_SELECTおよびBFI_INT）のおかげです。

自分で試してみたい人はインストールされています次のようなDebianまたはUbuntuを使用するEC2でのaircrack-ng：

 sudo yum install gcc libnl-devel openssl-devel wget http://download.aircrack-ng.org/aircrack-ng-1.2-beta3.tar.gz tar xf aircrack-ng-1.2-beta3.tar.gz cd aircrack-ng-1.2-beta3 sudo make install 

統計

CPUとGPUがパスワードの列挙にどのように対処するかを見た後、結論を導き出すことができます。以下は、今日（2014年6月）の最新のビデオカードの統計です。データは、友人chem_uaおよびオープンソース（golubev.com、oclhashcatおよびフォーラムページ）から、私のシステムのいくつかで取得されました。Litecoin wikiの広範な表とBitcoinの同様の表に従って、異なるカードの機能を互いに比較することができます。

数値は、システムの構成、OS、温度/冷却、および加速に応じて示されます。あなたがあなた自身のデータを持っている場合-コメントや個人で共有する、私はそれらをテーブルに追加します。kh / s -毎秒のパスワードの計算と比較の数（千単位）（10 kh / s =毎秒10,000パスワード）。

 nVidia 670 24 kh/s nVidia 675MX 11 kh/s nVidia 780M 42 kh/s nVidia 580 47 kh/s nVidia Tesla K20 85 kh/s nVidia 750 Ti 55 kh/s nVidia Titan Black 108 kh/s AMD 280X 160 kh/s AMD 290X 190 kh/s AMD 295X*2 203*2 kh/s AMD 5870 101 kh/s AMD 5870 153 kh/s AMD 6870 72 kh/s AMD 6990 181 kh/s AMD 7970 128 kh/s AMD 7990 220 kh/s 

注意：低コストのGPU（たとえば90ドルの5870）をCPUの結果と比較しても数値はオフスケールですが、GPU、特にAMDのGPUとは異なり、数十倍の電力を消費することに注意してください（たとえば、わずか2台の290Xで0.75-1 kW PSUを備えています）。そのため、このような「発電機」を購入する前に、特にそれらを分散する予定がある場合は、最初に毎月の電気料金がどれくらいかかるかを検討してください。または、750ワットの300ワットしか必要としません。

乾燥残渣

GPを使用したハッシュの計算に精通しているため、すべてがいかに悲しいか、短くて「複雑な」パスワードの本当の価格は何かを理解できます。これは、WPAだけでなく、PBKDFだけがリソースの集中度の影響を受けにくいためです。今日、単一システムの最高水準である8 AMD 290X（合計約3000ドル）を取得すると、1秒あたり150万のWPAハッシュ、または940億のMD5ハッシュが得られます。

したがって、WPAを検索する時間に関する上記の図は次のようになります。

  (26^8) / (1500000 * 3600) = 38,7    8-   az ( 514 ) (10^10) / (1500000 * 3600) = 2   10-   ( 25 ) (26^10) / (1500000 * 3600 * 24 * 365) = 3   10-   az ( 952 ) (10^12) / (1500000 * 3600 * 24) = 7,7   12-   ( 7 ) (10^14) / (1500000 * 3600 * 24 * 365) = 2,1   14-   ( 674 ) 

ご覧のとおり、数値は劇的に変化しています。さらに、MD5を使用したパスワードの強度を調べると（61,000倍高速に計算され、これにはレインボーテーブルがありませんが、ボリュームのために長いパスワードには役に立ちません）：

  (26^8) / (94000000000) = 2    8-   az (10^10) / (94000000000) = 100   10-   (26^10) / (94000000000 * 60) = 25   10-   az (10^12) / (94000000000) = 10,6   12-   (10^14) / (94000000000 * 60) = 17,7   14-   

MD5とSHA1（最初の3倍の速度しかありません）は、多くのサイトでユーザーパスワードをハッシュするために使用されています。登録するすべてのサイトの信頼性を保証することはできないので（特に目の前に大きなサイトの例があります-Adobe）、20文字未満のデジタルパスワード（以下を参照）または14文字未満のアルファベットのパスワードを使用することは、少なくとも無謀です。また、角かっこやドット（一部のサイトでは一般的に何らかの理由でパスワードで禁止されている）を追加することすら問題ではありません。ご覧のとおり、10桁の数字と英数字のパスワードの違いにより、後者の強度が約30分延長されます。

それではどうしますか？

sayingにもあるように、ロシアの民主主義の父の救いは、民主主義の仕事そのものです。パスワードの長さに4文字を追加するとどうなるか見てみましょう。

 (26^10) / (1500000 * 3600 * 24 * 365) = 3    10-   az (26^12) / (1500000 * 3600 * 24 * 365) = 2 017    12-   az (10^16) / (1500000 * 3600 * 24 * 365) = 211   16-   (10^18) / (1500000 * 3600 * 24 * 365) = 21 140   18-   

MD5の場合：

 (26^12) / (94000000000 * 3600 * 24) = 11,6    12-   az (10^16) / (94000000000 * 3600 * 24) = 1   16-   (10^18) / (94000000000 * 3600 * 24) = 123   18-   (26^16) / (94000000000 * 3600 * 24 * 365) = 14 710    16-   az (26^14) / (94000000000 * 3600 * 24 * 365) = 21,7    14-   az (26^16) / (94000000000 * 3600 * 24 * 365) = 14 710    16-   az (10^20) / (94000000000 * 3600 * 24 * 365) = 34   20-   (10^22) / (94000000000 * 3600 * 24 * 365) = 3 373   22-   

ご覧のとおり、長さが16文字の「高速」のMD5でも、ブレークする意味はありません。特に、この長さの「語彙」の単語がない場合-私たちが話している場合を除きqwertyuiopasdfghjkます。

この考えは、パスワードの長さの重要性についてであり、その内容についてではありませんが、新しいものではありません。3年前、XKCDはその歴史的なストリップを描きました：


（「20年間の絶え間ない努力の末、ようやくパスワードを覚えにくく、コンピューターで簡単に入手できるようにする方法を人々に教えることに成功しました。」）

そして4月に、スタンフォードはパスワードの長さに達する新しいパスワード要件を公開しました20からは、アルファベットの要件はありません（数字、大文字の文字などは必要ありません）。


このすべてについて、パスワードが16文字に制限されているAlfa-Bankなどの組織の要件は、ほとんどの特殊文字を認めずに悲しそうに見えます。このようなパスワードが必要な理由はすぐに明らかになります。

要約すると、攻撃者にWPAのパスワードを取得する機会を与えないために、12桁の英数字のパスワードを考え出す必要があります。今後数年間で量子コンピューターが大衆にアクセスできなくなる場合は、恐れることはありません。さて、サイトへのパスワードには16文字で十分です。クリアテキストで保存しない場合は、何を考えても謎のままです。次のコンピューターが来るまで。

（パスワードをクリアテキストで保存するサイトの注目に値する予期しない例は、ixbt.ruフォーラムです。：パスワードはエンコードされず、ボード管理者が閲覧できることに注意してください。"-だから注意してください！）

計算のジャングルへのこの遠足で完了です。次の、恐らくシリーズの最後の記事は、あなたがそこに着いた後に無線ネットワークトラフィックを聞くことについてです。

記事は気に入りましたか？ハンドシェイクプロセスは明確でしたか？説明に誤り/不正確さはありましたか（専門家向け）共有するものがありますか？あなたのコメントを楽しみにしています。これはまた、次のパートの執筆をスピードアップします！

目次：
1） Materiel
2） カーリー。SSIDを非表示にします。MACフィルタリング。WPS
3） WPA。OpenCL / CUDA。マッチング統計