Форум ''Интернет и Право''
29 Марта 2024, 01:45:19 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2 3   Вниз
  Печать  
Автор Тема: Создание и распространение таблиц rainbow, законно или нет?  (Прочитано 8672 раз)
ezhfan
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 73


С любовью к ближнему

177757775
E-mail
« : 01 Августа 2008, 19:12:15 »

Итак, очередной провокационный вопрос: не противоречит ли нашему законодательству создание и/или распространение так называемых rainbow tables?

Статья на английском, объясняющая принцип действия: http://en.wikipedia.org/wiki/Rainbow_table
Если описать кратко, то смысл в следующем.
Создаётся вторая функция, преобразующая хэш-значение в какое-нибудь слово. Т.е. это как бы аналог хэш функции, только выполняется обратное преобразование.
Далее создаётся цепочка:
случайное слово->хэш->слово->хэш->слово->...->хэш
В таблице сохраняются только начало и конец цепочки.
Таких цепочек создаётся достаточно много.
Далее, для взлома пароля берётся его хэш-значение и прогоняется по данной цепочке, пока значение хэша не совпадёт с одним из хвостов, хранящихся в таблице.
Как только мы нашли цепочку, прогоняем её заново с самого начала и находим слово(пароль), из которого получился данный хэш.
Для одной цепочки можно посчитать вероятность попадания в неё пароля, соответственно, можно посчитать, скольно нужно создать цепочек, чтобы взломать пароль с заранее заданной вероятностью.
Т.е. этим методом решена проблема хранения предвычисленных значений хэшей. Вторая особенность - то, что все ресурсоёмкие вычисления выполняются заранее, а пароль взламывается в считанные секунды (доли секунд).

Соответственно, большУю ценность представляют предвычисленные таблицы цепочек для различных хэш-функций (MD5, sha1, ntlm...). Так вот, вопрос, являются ли законным создание, распространение, продажа этих таблиц? По сути, они содержат данные, позволяющие выполнять успешное обратное преобразование с любой заданной вероятностью успеха < 100%.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #1 : 02 Августа 2008, 06:22:36 »

Гм, интересно под какую статью УК РФ , на Ваш взгляд, возможно подвести указанное деяние (создание и распространение rainbow таблиц)?


Вторая особенность - то, что все ресурсоёмкие вычисления выполняются заранее, а пароль взламывается в считанные секунды (доли секунд).
Ну это Вы "загнули". Малоизвестная  Смеющийся фирма ElcomSoft  распространяет свои базы на DVD (где то я даже слышал цифру 89Гб Подмигивающий ). Чтобы только считать такие объемы потребуются не минуты - часы (особенно если диск "заедает").
« Последнее редактирование: 02 Августа 2008, 07:20:04 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Лебедев Artla Артём
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 345


форнит :)

167391873
E-mail
« Ответ #2 : 02 Августа 2008, 09:44:59 »

Для одной цепочки можно посчитать вероятность попадания в неё пароля, соответственно, можно посчитать, скольно нужно создать цепочек, чтобы взломать пароль с заранее заданной вероятностью.
Насколько я понял вопрос в том, что программа взламывает пароль Улыбающийся Здесь всё просто, когда Ваша программа будет готова, замените слово "взламывает", на слово "восстанавливает" Подмигивающий
Записан

Я не ищу трудных путей, я их прокладываю ...

Пессимист видит трудности при каждой возможности.
Оптимист в каждой трудности видит возможности.
(с) Уинстон Черчилль

Владение русской орфографией - как владение кунг-фу: мастера не применяют его без необходимости...
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #3 : 02 Августа 2008, 09:49:39 »

Это не программа а таблицы к программе. Сами таблицы ничего не взламывают и не восстанавливают. Это как создание словаря для брутфорса. Сам словарь ничего не взламывает.
« Последнее редактирование: 02 Августа 2008, 09:51:40 от Igor Michailov » Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Лебедев Artla Артём
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 345


форнит :)

167391873
E-mail
« Ответ #4 : 02 Августа 2008, 09:52:50 »

Это не программа а таблицы к программе. Сами таблицы ничего не взламывают и не восстанавливают. Это как создание словаря для брутфорса. Сам словарь ничего не взламывает.
Спасибо, теперь понял, тогда вообще вопросов возникнуть не должно Улыбающийся
Записан

Я не ищу трудных путей, я их прокладываю ...

Пессимист видит трудности при каждой возможности.
Оптимист в каждой трудности видит возможности.
(с) Уинстон Черчилль

Владение русской орфографией - как владение кунг-фу: мастера не применяют его без необходимости...
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #5 : 02 Августа 2008, 10:07:54 »

Спасибо, теперь понял, тогда вообще вопросов возникнуть не должно Улыбающийся

В свете того, что отдельные эксперты признают вредоносными программы для восстановления паролей - тема актуальна.  Подмигивающий
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
VPZ
Посетитель
*
Офлайн Офлайн

Сообщений: 43


С любовью к ближнему


« Ответ #6 : 02 Августа 2008, 11:23:37 »

В свете того, что отдельные эксперты признают вредоносными программы для восстановления паролей - тема актуальна.  Подмигивающий
На днях видел экспертизу, в которой "код установки" Windows был отнесен к числу вредоносных программ. :-)
Записан
pvp
Специалист
Участник
*****
Офлайн Офлайн

Сообщений: 512


С любовью к ближнему


E-mail
« Ответ #7 : 02 Августа 2008, 11:25:02 »

В свете того, что отдельные эксперты признают вредоносными программы для восстановления паролей - тема актуальна.  Подмигивающий
Кстати, да. По kgbspy дело в суд не то ушло, не то вот-вот уйдет.
Записан
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #8 : 02 Августа 2008, 11:38:04 »

На днях видел экспертизу, в которой "код установки" Windows был отнесен к числу вредоносных программ. :-)
Вы, в отличии от многих прочих, то хоть как-то можете повлиять на складывающуюся ситуацию. Вам и карты в руки.  Подмигивающий Подмигивающий Подмигивающий
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
ezhfan
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 73


С любовью к ближнему

177757775
E-mail
« Ответ #9 : 02 Августа 2008, 13:24:10 »


Вторая особенность - то, что все ресурсоёмкие вычисления выполняются заранее, а пароль взламывается в считанные секунды (доли секунд).
Ну это Вы "загнули". Малоизвестная  Смеющийся фирма ElcomSoft  распространяет свои базы на DVD (где то я даже слышал цифру 89Гб Подмигивающий ). Чтобы только считать такие объемы потребуются не минуты - часы (особенно если диск "заедает").

Не совсем загнул. Всё зависит от словаря и от параметров цепочек. Для цифробуквенного (во загнул!) пароля 1-7 симполов можно сгенерить как таблицы на 70Гб, так и на 300 Мб при _одинаковом_ объёме вычислений. Просто во втором случае цепочки будут существенно длиннее, поэтому их понадобится значительно меньше. При вычислении пароля считается 300 Мб в память, а дальше после пробега по цепочкам пароль будет восстановлен. И не надо читать гигабайты. Недавно скачал похожие таблицы и практика показала, что взлом - меньше 3 секунд. Набор символов там побольше.
На справедливый вопрос, нахрена 80Гб, если хватает 300Мб, отвечу:
1) с таблицами 80Гб вероятность успешного взлома пароля будет составлять примерно 99,993% (для точного анализа нужны точные параметры таблиц), а для таблиц в 300 Мб (тех, которые я скачал) вероятность где-то 99,1%.
2) Если таблицы 80Гб сжать в 300Мб "без потери качества", то на слабых машинах подбор пароля будет занимать несколько минут процессорного времени.
Записан
Страниц: [1] 2 3   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines