Visual Basic, .NET, ASP, VBScript
 

   
   
     

Форум - Общий форум

Страница: 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8

 

  Вопрос: расшифровка ХЭШей Добавлено: 26.06.07 22:29  

Автор вопроса:  Daleko ne haker | Web-сайт: NET | ICQ: 330-912-919 

Ответить

  Ответы Всего ответов: 107  

Номер ответа: 16
Автор ответа:
 Ra$cal



ICQ: 8068014 

Вопросов: 18
Ответов: 817
 Web-сайт: www.rascalspb.narod.ru
 Профиль | | #16
Добавлено: 27.06.07 16:22
Fever - послушай, парниша, веди себя как следует, то есть уважай старших и слушай их мнение. выёбываться можешь у себя во дворе. здесь форум. человек не знает о криптографии и хэш абсолютно ничего. если нужно восстановить именно исходный текст - смело идите отдыхать. если же именно как я описал - то используется свойство наличия коллизий.
ЗЫ: ещё раз повторяю - за оскорбление можешь получить люлей...

Ответить

Номер ответа: 17
Автор ответа:
 Sharp


Лидер форума

ICQ: 216865379 

Вопросов: 106
Ответов: 9979
 Web-сайт: sharpc.livejournal.com
 Профиль | | #17
Добавлено: 27.06.07 17:07
Fever, что такое ключ к хэшу?

Ответить

Номер ответа: 18
Автор ответа:
 HACKER


 

Разработчик Offline Client

Вопросов: 236
Ответов: 8362
 Профиль | | #18 Добавлено: 27.06.07 19:20
2 Daleko ne haker

Хеш - (своими словами) однонаправленная функция. Преобразовать данные в хеш довольно просто, преобразовать обратно из хеша теоретически невозможно. Это принципиальное отличие от шифрования. Если для расшифрования ищут ключ которыми данные были зашифрованы, то в случае хеша нет никакого ключа, обратно преобразовать хеш в данные нельзя. Как же делают то, что ты называешь "расшифровкой хеша"? Хеши не расшифровывают - их перебирают. Перебор грубой силой - грубо говоря :) Т.е. берут и все комбинации букв преобразовывают в хеш, сверяют полученный хеш с твоим, который ты хочешь расшифровать. Теоретически стоимость такого перебора должна быть не меньше стоимости самой информации которая преобразована в хеш. Хороший алгоритм хеширования - тот который гарантирует минимальные колизии.

Колизия хеша - пара слов (данных которые ты хешируешь) которые при хешировании дают один и тот же хеш. Хеш то фиксированной длины, мд5 например - 32 байта, если не ошибаюсь.. А данные которые хешируются могут быть любого размера, теор. нельзя же данные любого размера преобразовать в 32 байта так чтобы эти 32 байта во всех случаях были уникальные, т.е. не повторялись. Вот это и называется коллизией.

Теперь ты имеешь минимальные представление о хеше. Существует много программ для перебора хешей, наверное одна из лучших - PasswordPro. Скорость перебора высокая, умеет сохранять прогресс работы, если требуется преравать работу программы.. Она много чего умеет. Время перебора хеша напрямую будет зависить от размера данных которые были захешированные. Если размер захешированных данных небольшой (~ до 10 символов) то вполне хеш можно перебрать, времени может потребоваться до недели. Если больше 10 знаков, то если и получится сломать хеш - 70% это будет колизия. Вообщем если знаков много, очевидно ты найдешь колизию.

Кстати в онлайне существовали когда-то сервисы для перебора хешей, их обычно быстро прикручивают, но думаю поискать стоит. Скорость таких сервисов в принципе всегда удивляла. Если нет возможности долго перебирать самому, можно обратится к кому-то, не за спасибо конечно :) Комне можно конечно :) У меня сервер работает 24/сутки, можно его напрячь прибыльными делом, если оно конечно прибыльное :))

И ещё..
Часто "умные" выдрав откуда-то хеш (из БД, из .password итп) думают если они подберут значение (пароль) то брез проблем залогинятся в систему. Как бы не так. Если получится найти именно оригинальное значение - никаких проблем. А если найдешь колизию, она будет содержать спец символы, которые скрипт авторизации врядли пропустит :)

Вообщем удачи :)

Ответить

Номер ответа: 19
Автор ответа:
 ZagZag



ICQ: 295002202 

Вопросов: 87
Ответов: 1684
 Профиль | | #19 Добавлено: 28.06.07 06:11
D:\RAINBOW_TABLES\RT>rcrack.exe *.rt -h 4e13dad34033e6a401070d6ac807f442
md5_loweralpha#1-7_0_1000x40000000_oxid#000.rt:
md5_loweralpha#1-7_0_1000x40000000_oxid#001.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#000.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#001.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#002.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#003.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#004.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#005.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#006.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#007.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#008.rt:
md5_loweralpha#1-7_0_100x40000000_oxid#009.rt:
md5_mixalpha-numeric#1-6_0_1000x40000000_oxid#000.rt:
md5_mixalpha-numeric#1-6_0_1000x40000000_oxid#001.rt:
md5_mixalpha-numeric#1-6_0_1000x40000000_oxid#002.rt:
md5_mixalpha-numeric#1-6_0_1000x40000000_oxid#003.rt:
md5_mixalpha-numeric#1-6_0_1000x40000000_oxid#004.rt:
md5_mixalpha-numeric#1-6_0_1000x40000000_oxid#005.rt:
md5_numeric#1-10_0_1000x40000000_oxid#000.rt:
md5_numeric#1-10_0_1000x40000000_oxid#001.rt:
md5_numeric#1-10_0_500x40000000_oxid#000.rt:
md5_numeric#1-10_0_500x40000000_oxid#001.rt:
md5_numeric#1-10_0_500x40000000_oxid#002.rt:

result
-------------------------------------------------------
4e13dad34033e6a401070d6ac807f442 <notfound> hex:<notfound>


Моя подборочка не смогла сломать хеш. Притом я еще его прогнал по словарям (~80Мб) - нулевой результат.
Вот мне и интересно узнать источник откуда был получен хеш.

Ответить

Номер ответа: 20
Автор ответа:
 W[4Fh]LF



Вопросов: 0
Ответов: 187
 Web-сайт: hunger.ru
 Профиль | | #20
Добавлено: 28.06.07 07:36
ога. но на практике коллизий мд5 не видел. sha-256 пока невзломан


Он уже полгода как взломан.
http://en.epochtimes.com/news/7-1-11/50336.html

2Ra$cal заткнись и не флуди. Человеку необходимо восстановить ключ к хэшу, а коллизии тут ни при чем


RTFM

если же именно как я описал - то используется свойство наличия коллизий.


Для начала приведи сюда хотя бы один пример двух векторов дающих коллизию.

Ответить

Номер ответа: 21
Автор ответа:
 W[4Fh]LF



Вопросов: 0
Ответов: 187
 Web-сайт: hunger.ru
 Профиль | | #21
Добавлено: 28.06.07 07:46
Колизия хеша - пара слов (данных которые ты хешируешь) которые при хешировании дают один и тот же хеш. Хеш то фиксированной длины, мд5 например - 32 байта, если не ошибаюсь.. А данные которые хешируются могут быть любого размера, теор. нельзя же данные любого размера преобразовать в 32 байта так чтобы эти 32 байта во всех случаях были уникальные, т.е. не повторялись. Вот это и называется коллизией.


Измерять хеши байтами в ASCII кодах - это верх мастерства. А в UNICODE у нас MD5 тогда 64 байта, ага?:)

Теперь ты имеешь минимальные представление о хеше. Существует много программ для перебора хешей, наверное одна из лучших - PasswordPro. Скорость перебора высокая, умеет сохранять прогресс работы, если требуется преравать работу программы.. Она много чего умеет. Время перебора хеша напрямую будет зависить от размера данных которые были захешированные. Если размер захешированных данных небольшой (~ до 10 символов) то вполне хеш можно перебрать, времени может потребоваться до недели. Если больше 10 знаков, то если и получится сломать хеш - 70% это будет колизия. Вообщем если знаков много, очевидно ты найдешь колизию.


Смеялся.

Определение хеша тоже понравилось.

HACKER, ты где такие источники берёшь? Читай нормальных авторов, а не этот треш.

Ответить

Номер ответа: 22
Автор ответа:
 W[4Fh]LF



Вопросов: 0
Ответов: 187
 Web-сайт: hunger.ru
 Профиль | | #22
Добавлено: 28.06.07 07:48
А, так это ты и есть автор чтоли?:)

Ответить

Номер ответа: 23
Автор ответа:
 HACKER


 

Разработчик Offline Client

Вопросов: 236
Ответов: 8362
 Профиль | | #23 Добавлено: 28.06.07 12:13
Босрали корочи, да? :) Ну тогда давай по порядку где я не прав. Я кстати не отрицаю того что я где-то могу быть не прав...

Измерять хеши байтами в ASCII кодах - это верх мастерства.

Мне влом открывать вики и смотреть сколько бит стандартный мд5 хеш, ляп "32" от <?echo strlen(md5("отстань:)";))?> :))

Про колизию возможно я неправ с расчетами кол-ва знаков, но в это не суть.

Определение хеша тоже понравилось.

Понравилось или "понравилось"? Уверен если бы понравилось без ковычек ты бы не акцентировал внимание.. Так что подвох на лиццо - толкай что именно "понравилось"

А, так это ты и есть автор чтоли?:)
А то ;)

Ответить

Номер ответа: 24
Автор ответа:
 Fever



Вопросов: 60
Ответов: 808
 Профиль | | #24 Добавлено: 28.06.07 16:01
HACKER >Исправлено<
Хеш - (своими словами) однонаправленная функция. Преобразовать данные в хеш довольно просто, преобразовать обратно из хеша практически невозможно(те время восстановления пароля к хешу растет экспоненциально относительно длины хэша и чарсета; пропорционально search space). Хеширование и шифрование суть одно и то же, однако в хэшировании исходный текст задан(по стандарту, его длина те самые 16 байт, те 4 VB6.Long), а ключ (вот откуда у меня это слово) есть ни что иное как шифруемый текст.
Хеши не расшифровывают - их перебирают. Перебор грубой силой (brute force) Т.е. берут и все комбинации букв преобразовывают в хеш, сверяют полученный хеш с твоим, который ты хочешь расшифровать.
Все чистые алгоритмы шифрования гарантируют почти одинаковые коллизии, ибо мощности множеств на входе и выходе различаются и не меняются от алгоритма шифрования (вру - мощность результирующего множества растет при увеличении длины хеша)

Колизия хеша - пара слов (данных которые ты хешируешь) которые при хешировании дают один и тот же хеш. Хеш то фиксированной длины, мд5 например - 32 байта, если не ошибаюсь.. А данные которые хешируются могут быть любого размера, теор. нельзя же данные любого размера преобразовать в 32 байта так чтобы эти 32 байта во всех случаях были уникальные, т.е. не повторялись. Вот это и называется коллизией.

Теперь ты имеешь минимальные представление о хеше. Существует много программ для перебора хешей, наверное одна из худших - PasswordPro. Скорость перебора невысокая, умеет сохранять прогресс работы, однако позволяет работать с любыми хешами. С дрегой стороны MD5Inside работает только с MD5 хешами, но делает это в 6,25 раз быстрее. Время перебора хеша НЕ будет напрямую зависить от размера данных которые были захешированы. Если размер захешированных данных небольшой (~ до 8 символов, чарсет loweralpha те a-z) то вполне хеш можно перебрать, времени может потребоваться больше недели.
Если больше 10 знаков, то если и получится сломать хеш - 70% это будет колизия. Вообщем если знаков много, очевидно ты найдешь колизию.

Тут я ваще не впер причем тут коллизии, тем более что когда ломают хеш получайт только один ключ, для коллизии же необходимо получить как минимум 2.

Кстати в онлайне существовали когда-то сервисы для перебора хешей, их не прикручивают, и шарп это сделал еще в 6м посте. Скорость таких сервисов в принципе никогда не удивляла, ибо они пользуются обычными rainbow tables, которые при мощности серверных компов действуют мгновенно. Если нет возможности долго перебирать самому, можно обратится сюда на форум :) Комне(Fever) можно конечно :) У меня компы работают 20 часов в сутки, не серверы, но тоже имхо неплохо
И ещё..
Часто "умные" выдрав откуда-то хеш (из БД, из .password итп) думают если они подберут значение (пароль) то без проблем залогинятся в систему. Как бы не так. Если получится найти именно оригинальное значение - никаких проблем.
Опять бред:
А если найдешь колизию, она будет содержать спец символы, которые скрипт авторизации врядли пропустит :)
Если ты нечаянно найдешь ключ, для которого хеш такой же, то тебе поставят памятник, вероятость этого события 2^-128.
W[4Fh]LF
Длина хеша может измерятся в байтах. Независимо от кодировки байт есть 8 бит. Конечно если ты не используешь виртуальную машину Кнута, в которой байт есть 10 бит. <?echo strlen(md5("отстань:)";))?> :)) дало длину 16ричной кодировки хеша. На самом деле длина md5 хеша есть 16 байт
Ra$cal

Fever - послушай, парниша, веди себя как следует, то есть уважай старших и слушай их мнение. выёбываться можешь у себя во дворе.

Прально, сиди у себя в питере и делай то что сам советуешь. От мата попрошу воздержаться.
если нужно восстановить именно исходный текст - смело идите отдыхать.

Логики не вижу. Пытаюсь человеку помочь восстановить ключ к хешу. Ты флудишь и даже не пытаешься прочесть вопрос, где сказано черным по серому, что необходимо именно это, а не поиск КОЛЛИЗИЙ.
если же именно как я описал - то используется свойство наличия коллизий.

Каким обрaзом оно используется? Я знаю множество методов : брутфорс, словари, эвристические словари, анализирующая эвристика, радужные таблицы, таблицы с distinguished points. ОДНАКО НИ В ОДНОМ ИЗ НИХ НЕ ИСПОЛЬЗУЮТСЯ ЭТИ ХРЕНОВЫ КОЛЛИЗИИ!

Ответить

Номер ответа: 25
Автор ответа:
 Fever



Вопросов: 60
Ответов: 808
 Профиль | | #25 Добавлено: 28.06.07 16:06
Если кто то еще раз скажет что-нибудь про коллизии, буду цитировать Ванга(Wang), потому что логические аргументы типа "я эту тему изучал, а ты флудер" похоже никто не воспринимает.

Ответить

Номер ответа: 26
Автор ответа:
 Fever



Вопросов: 60
Ответов: 808
 Профиль | | #26 Добавлено: 28.06.07 16:11
ZagZag тщетно. я пробовал даже allalpha-numeric-symbol14#1-8 с вероятностью 80%, не пашет. кажется тудавкралось что-то вроде тильды

Ответить

Номер ответа: 27
Автор ответа:
 HACKER


 

Разработчик Offline Client

Вопросов: 236
Ответов: 8362
 Профиль | | #27 Добавлено: 28.06.07 19:00
наверное одна из худших - PasswordPro

Время перебора хеша НЕ будет напрямую зависить от размера данных которые были захешированы

Если больше 10 знаков, то если и получится сломать хеш - 70% это будет колизия. Вообщем если знаков много, очевидно ты найдешь колизию.

Тут я ваще не впер причем тут коллизии, тем более что когда ломают хеш получайт только один ключ, для коллизии же необходимо получить как минимум 2.

Если ты нечаянно найдешь ключ, для которого хеш такой же, то тебе поставят памятник, вероятость этого события 2^-128.

Я знаю множество методов : брутфорс, словари, эвристические словари, анализирующая эвристика, радужные таблицы, таблицы с distinguished points. ОДНАКО НИ В ОДНОМ ИЗ НИХ НЕ ИСПОЛЬЗУЮТСЯ ЭТИ ХРЕНОВЫ КОЛЛИЗИИ!

Всё высказался? :) Комментировать этот бред я небуду, а вот процитировать, чтобы поржали все - почему бы и нет?

Ответить

Номер ответа: 28
Автор ответа:
 Павел



Администратор

ICQ: 326066673 

Вопросов: 368
Ответов: 5968
 Web-сайт: www.vbnet.ru
 Профиль | | #28
Добавлено: 28.06.07 19:09
Мммм... А мне один вопрос покоя не дает...
Товарищи, скажите, Sharp вывел новый синтетический наркотик, или это
всё-таки легендарный сухабаторский план?..

Ответить

Номер ответа: 29
Автор ответа:
 Fever



Вопросов: 60
Ответов: 808
 Профиль | | #29 Добавлено: 28.06.07 20:30
Всё высказался? :) Комментировать этот бред я небуду, а вот процитировать, чтобы поржали все - почему бы и нет?

Похоже что смеешься только ты =) В моем сообщении было дано вполне аргументированое объяснение моего мнения. Возможно с первого раза оно не дошло.
1. ПассвордПро САМАЯ медленная из программ своего рода. на моем компе она дает 800000 pps, в то время как MD5Inside дает 5000000 (считай нули)
2 Особенно интересна фраза "НАПРЯМУЮ". Также хотелось бы узнать, что ты подразумеваешь под словом "РАЗМЕР". Если длина сообщения, то время подбора растет именно экспоненциально, и уж точно не НАПРЯМУЮ.
3 Пусть ржут, только над тобой =) Прочти еще раз и вникни в суть. Если не поможет, сгенерируй мне в твоем любимиом ПассвордПро коллизию и покажи мне (по твоему определению!) ДВА сообщения дающие одинаковый хеш.
4 Вероятность случайно найти коллидирующую пару к сообщению есть 2^-128. Ничего смешного я в этом не вижу.
5 Покажи мне хоть один метод, где для взлома паролей используются коллизии и я тебе поверю =)

2Павел Оффтопик. НЕ заметил, что обсуждение идет в Общем форуме? Лучше зайди в обсуждалово форума, там тебя заждались =)

Ответить

Номер ответа: 30
Автор ответа:
 HACKER


 

Разработчик Offline Client

Вопросов: 236
Ответов: 8362
 Профиль | | #30 Добавлено: 28.06.07 21:23
http://www.hackersoft.ru/?q=art&w=passs&e=passwords

http://www.hackzona.ru/hz.php?name=News&file=article&sid=4490

http://www.izone.kiev.ua/news/167.htm

http://www.winda.ru/news/a-1495.html

http://hack-expo.void.ru/groups/damage/txt/index9.htm

Ты отобрал у меня 10 минут времени, зачем?
Какие нах 800000 pps у PasswordPro?
Зачем придераться к словам? Я имел ввиду чем больше захешированные данные тем дольше их подбирать.
Какая нах "генерация" коллизии? :)
Какое нах 2^-128? Откуда эти дрова? Колизия будет от сообщения зависить, как в этом случае можно посчитать вероятность?
О чем с тобой вообще поговорить можно?
Ты что постоянный клиент Sharpa на синтетический наркотик?
Он дисконтную карточку тебе дал?

Ответить

Страница: 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8

Поиск по форуму



© Copyright 2002-2011 VBNet.RU | Пишите нам