令人心寒的项目..

zenixyang

存在即合理 -

, N0 X4 [' O$ a-- 這句話不是我說的.

longas

原帖由 hham 于 2008-10-6 12:22 发表
我第一次听说香农公式，因为不搞这个。下面学习了下。
- \. K4 O; \( ], F学习破解的，或研究分布式破解的，听起来或许不那么正统或正面。这里给楼主建言一句，力量无所谓正邪，拥有后以后会有用的。

9 g8 ]# I- V; P+ ?$ X5 H- M香农定理指出，如果信息源的信 ...

........我恨信息论。

kilia

旁观者，回答几个问题：
4 I: t' @0 ]2 \2 |* b
1）哪里去租超级计算机？
google appengine，amazon的云计算平台。
2 K" t- W3 C+ t( z# F
2）费用
2 v) `8 l  ^1 q& w* S  E4 g6 G5 s以google appengine为例，1G主频×1小时 0.1美元左右。
以计算100万个常见密码@1000个常见ap名称为例，按照每秒100个的速度估算。
6 d: u/ y4 _, y( j; e为：1e6*1e3/100/3600~=2700Ghz*hour，也就是大概270美金而已。用6.9的汇率来算，不过1800多块人民币。

- t) a4 U9 e; r" v0 F3）大型hash表只有在做大批量破解的时候才有意义
! H$ J/ p# S: s% q. v& M* C; `可能对于war driving的死忠分子，确实有用，但是对于普通用户来说，他只要破解身边的，已知名字的几个ap而已。
1 l- S+ ^% e+ }! U要得是更好的密码辞典，而不是大型hash表。

kilia

暴力破解即便算是“安全界”的，也只是浅层而已。
3 h3 q1 b9 a# `1 g# X. I1 k  s
& \) {3 R/ v5 h4 F9 ~+ c6 ~% T

原帖由 longas 于 2008-10-5 13:45 发表
6 t& d) |3 h* B" [6 j) U) x# O唉，真是令人心凉的人..........

% h! }  k+ z. ^) }5 f4 d. S; |看来已经存在6、7年的freerainbowtables.com的那么多的全球志愿者们可以去歇菜了.........
& A& ~" _% p+ _5 ^9 K4 [
0 A  h! ?! s9 n4 \0 J下面是全球最著名的分布式Hash Table运算项目的官方网站，目前全世界绝大部分的黑客 ...

kilia

你把超级计算机想像的太强大了。
- f9 A) O" O. Z( [  [
The passphrase may be from 8 to 63 printable ASCII characters or 64 hexadecimal digits (256 bits).


7 c2 S6 B4 H* x- a: n
4 R$ c4 a5 _  s/ c1 Q6 n256bit空间的穷举（因为是暴利破解嘛～所以是穷举），在量子计算机出现前，是不可能完成的任务。

. Q9 H4 A4 {8 f0 c4 |3 `+ @
* S2 i. s8 i5 `6 mps：一般的概念上讲，个人电脑能够解决32bit的穷举问题。而现在最好的超级计算机，可以解决64bit的穷举问题。再上去就没戏了，hehe。

9 b( {$ l- I% p

原帖由 Decease 于 2008-10-5 15:35 发表
% E8 V) x, Z: C8 P但是WPA是有长度限制的密码，而且它的算法是有规则单向性的算法，超级计算机完全可以胜任这个任务。2 r: @/ 

longas

原帖由 kilia 于 2008-10-6 21:51 发表
你把超级计算机想像的太强大了。
2 o( _' Q7 B  ~6 o/ Y+ ]- G: b' d* M
The passphrase may be from 8 to 63 printable ASCII characters or 64 hexadecimal digits (256 bits).
% ?" T% `" V& `# u' U
# u$ i7 f) E2 M+ G
256bit空间的穷举（因为是暴利破解嘛～所以 ...

/ y! K% K, ^& w呵呵，阁下完全中肯和合理的评价，我深表同意。
3 g/ y: G  q; w  l3 M
) f9 I3 L7 }9 E. s# j5 r分布式只是我们的一次尝试，从来不会说是一劳永逸或者某些人什么达到100%破解成功率之类胡言乱语，如你所说，暴力破解在“安全界”，确实只是浅层而已，但那是基于“有人做了，有人试过了”的前提下才能得出的。

6 _9 Z3 h  x9 P) x2 g. r1 U8 X另外，关于费用，你的数值似乎有问题，不会这么简单的，请再核实。
! T& {0 J0 c6 b( e, u( f
而且要注意的是，虽然Google App Engine在性能、系统分布能力上有了巨大的改善， host在appengine的应用也将具备google.com级别的带宽、CPU资源、可靠性、吞吐量, 传统的host服务，最高级别也就是所谓dedicated server, 即一台机器专门给你，要能支持多台机器的分布还得你自己想办法，所以绝大多数人还是在观望的。也包括我们。

感谢你带来的理性批评、质疑和建议。

[ 本帖最后由 longas 于 2008-10-6 22:13 编辑 ]

kilia

请仔细查阅appengine的文档。
google卖的不是dedicated server，卖的是分布式服务的大平台。

1 q8 a3 A7 n& k6 r1 o价格和运算量都没有问题的，当然，用python实现一个wpa的破解软件，性能能否达到100/s有待验证。
" Z9 O- K/ T& v3 p$ B$ N0 U6 G/ A  i
6 q! `8 h& e+ L% p1 z1 o  ?3 i如有异议请指出。
0 [0 r+ N, |- G3 [4 f+ e9 z, f

原帖由 longas 于 2008-10-6 22:06 发表

2 U5 u2 ^( w7 Z2 ^. {+ h" y5 c+ {
呵呵，阁下完全中肯和合理的评价，我深表同意。

1 g$ R( _; ]2 K! m# a分布式只是我们的一次尝试，从来不会说是一劳永逸或者某些人什么达到100%破解成功率之类胡言乱语，如你所说，暴力破解在“安全界”，确实只是浅层而已，但那是 ...

kilia

ps：算密码这么简单的，每个单元可以完全独立的运算任务。简单的n台机器就一切n份就行了。不需要啥分布式计算的知识。

0 Z; y  Q/ _" v

原帖由 longas 于 2008-10-6 22:06 发表


呵呵，阁下完全中肯和合理的评价，我深表同意。

分布式只是我们的一次尝试，从来不会说是一劳永逸或者某些人什么达到100%破解成功率之类胡言乱语，如你所说，暴力破解在“安全界”，确实只是浅层而已，但那是 ...

longas

说实话，我对python了解不多，但参考基于此语言编译的工具如此之少，个人觉得其局限性应该比较大。
# l9 o) F: n/ y; S7 O0 c3 a
' Y. B: V6 c$ C9 V8 c0 V1 A6 J关于ZerOne的分布式计划，请参看这个页面
http://bigpack.blogbus.com/logs/29742810.html

  G; ]; I# G1 W6 {0 k- A我们有几个分组在不同方向同时在努力的，这些方向对于目前的google  appengine并不能带来实质性的解决，比如GPU。此外，我暂不了解google appengine的运算机理，尤其是对于你所提及的n台n份含义，能否解释。

感谢赐教。

kilia

python是个好语言，google三大语言：c、java、python。不多废话了，hehe。

我不知道我的理解是否正确：）我想，你们要做的事情就是，对一个AP的名字apname，一个密码password，通过一个hash算法wpahash（），计算出它的hash=wpahash(apname, password)值保存下来，以便以后碰到同样名字的ap，可以通过查表知道对应的密码（如果找到的话）。
/ \8 O& x7 B: j4 R! }/ G
假设你们要计算K个常见ap名称、N个常见密码的组合。其实就是对，任取 a 属于 apname集合, 任取 b 属于 password集合，计算wpahash(a, b)而已。

: w4 J1 Y6 a9 ?7 l9 T3 `由于任意的a、b的计算，不依赖于其他的apname或者password，是独立的。所以，要分布式计算，只需要分发a/b的组合即可。a/b的组合的分发，最简单就是在a/b的所有组合的集合上，有几台机器，就切几份，分别计算即可。这些机器之间，相互根本不用通讯，也是相互独立的。

kilia

GPU计算是个好想法。不过，由于GPU的架构和x86架构不同。常见的算法和优化策略可能很难直接用上，并且，GPU对于条件分支很多的算法性能很差（不过，我粗看了一下rc4应该没啥问题，够简单的，其他不知）。

我的建议是，先用CUDA来做，做了就知道了，hehe。

  q' U8 o, l0 h
  }' p' Y# d5 d2 _

原帖由 longas 于 2008-10-6 22:25 发表
! t, O9 d$ W: f" O说实话，我对python了解不多，但参考基于此语言编译的工具如此之少，个人觉得其局限性应该比较大。
0 ^+ o' R- c5 `# {) z
" [- S! Q3 t: N2 o关于ZerOne的分布式计划，请参看这个页面
, R7 ^5 s/ A" A* B* i( p# E% hhttp://bigpack.blogbus.com/logs/29742810.html
: o( U% }1 u% O( L
我们有几个分组在 ...

longas

呵呵，谢谢支持，其实GPU运算一开始就作为第二阶段研发考虑的，哈，但是还需要细化，下面是一个测试数据供参考。
+ y- e7 l" `% t  n- v8 A1 `

在hash制作的目的上，你的理解完全正确，按照ZerOne原计划，将采用GPU+CPU的组合，再加上分布式，来全面提升Hash运算及WPA破解效率的。虽然我们全部基于C开发，但是通过沟通，相信阁下乃python此方面高手，既然有此兴趣，以后还请另场多多指教。

% _# ~  ~$ U  l% L/ E6 M请给我些时间深入理解Google appengine后再与你探讨，哈哈，E文不好呀，若你有其他资料，也请不吝赐之。
; x" v- ~1 Y6 f4 @$ S% f4 d
虽然ZerOne是个由兴趣而发的安全团队，但众人的想法也肯定有限，也请你以后继续指点和支持，再次表示感谢。Really。