Радужный стол

— Радужная таблица это предварительно вычисленная таблица для кэширования выходных данных криптографической хэш-функции , обычно используемой для взлома хэшей паролей. Пароли обычно хранятся не в текстовой форме, а в виде хеш-значений. Если такая база данных хешированных паролей попадет в руки злоумышленников, они могут использовать предварительно вычисленную радужную таблицу для восстановления паролей в виде открытого текста. Распространенной защитой от этой атаки является вычисление хешей с использованием функции получения ключей , которая добавляет « соль » к каждому паролю перед его хешированием, при этом разные пароли получают разные соли, которые хранятся в виде обычного текста вместе с хешем.

Радужные таблицы являются практическим примером компромисса между пространством и временем : они используют меньше времени компьютерной обработки и больше памяти, чем атака методом грубой силы , которая вычисляет хэш при каждой попытке, но больше времени обработки и меньше памяти, чем простая таблица, в которой хранятся хеш всех возможных паролей.

Радужные столы изобрел Филипп Охслин. ^[1] как применение более раннего, более простого алгоритма Мартина Хеллмана . ^[2]

Предыстория [ править ]

Для аутентификации пользователей пароли сохраняются либо в виде открытого текста , либо в виде хешей . Поскольку пароли, хранящиеся в виде открытого текста, легко украсть, если доступ к базе данных скомпрометирован, базы данных обычно вместо этого хранят хэши. Таким образом, никто, включая систему аутентификации, не сможет узнать пароль, просто взглянув на значение, хранящееся в базе данных.

Когда пользователь вводит пароль для аутентификации, для него вычисляется хэш, а затем сравнивается с сохраненным хешем для этого пользователя. Аутентификация не удалась, если два хеша не совпадают; более того, аутентификация также не удалась бы, если бы в качестве пароля было введено хешированное значение, поскольку система аутентификации хешировала бы его во второй раз.

Узнать пароль из хеша — значит найти строку, которая при вводе в хэш-функцию создает тот же хэш. Это то же самое, что инвертировать хэш-функцию.

Хотя атаки методом перебора (например, атаки по словарю ) могут использоваться для попытки инвертировать хеш-функцию, они могут стать неосуществимыми, если набор возможных паролей достаточно велик. Альтернативой грубому перебору является использование предварительно вычисленных таблиц хеш-цепочек . Столы Rainbow — это особый вид таких столов, преодолевающий определенные технические трудности .

Этимология [ править ]

Термин «радужные таблицы» впервые был использован в первоначальной статье Окслина. Этот термин относится к способу использования различных функций сокращения для повышения вероятности успеха атаки. Оригинальный метод Хеллмана использует множество небольших таблиц с разными функциями сокращения. Таблицы Rainbow намного больше и в каждом столбце используются разные функции сокращения. Когда для представления функций приведения используются цвета, в радужной таблице появляется радуга. Рисунок 2 статьи Охслина содержит черно-белое изображение, иллюстрирующее взаимосвязь этих разделов. В своей презентации на конференции Crypto 2003 Окслин добавил цвет к графику, чтобы сделать ассоциацию с радугой более четкой. Усовершенствованная графика, представленная на конференции, показана на иллюстрации.

Предварительно вычисленные хэш-цепочки [ править ]

Учитывая хеш-функцию пароля H и конечный набор паролей P, цель состоит в том, чтобы предварительно вычислить структуру данных, которая по любому выходному значению h хеш-функции может либо найти элемент p в P такой, что H( p ) = h , в P нет или определить, что такого p . Самый простой способ сделать это — вычислить H( p ) для всех p из P, но тогда для хранения таблицы потребуется Θ (|P| n ) бит пространства, где |P| — размер множества P, а n — размер вывода H, что невозможно для больших |P|. Хэш-цепочки — это метод уменьшения этого требования к пространству. Идея состоит в том, чтобы определить функцию редукции R, которая отображает хеш-значения обратно в значения в P. Однако обратите внимание, что функция редукции на самом деле не является обратной хеш-функцией, а скорее другой функцией с доменом и кодоменом замененным хеш-функция. Чередуя хеш-функцию с функцией редукции, цепочки формируются чередующихся паролей и хеш-значений. Например, если бы P представлял собой набор 6-значных паролей в нижнем регистре, а хэш-значения имели длину 32 бита, цепочка могла бы выглядеть так:

${\displaystyle {\color {Red}{\mathtt {aaaaaa}}}\,{\xrightarrow[{\;H\;}]{}}\,{\mathtt {281DAF40}}\,{\xrightarrow[{\;R\;}]{}}\,{\mathtt {sgfnyd}}\,{\xrightarrow[{\;H\;}]{}}\,{\mathtt {920ECF10}}\,{\xrightarrow[{\;R\;}]{}}\,{\color {Violet}{\mathtt {kiebgt}}}}$

Единственное требование к функции сокращения — возможность возвращать значение «обычного текста» определенного размера.

Чтобы сгенерировать таблицу, мы выбираем случайный набор начальных паролей цепочки некоторой фиксированной длины k из P, вычисляем для каждого и сохраняем только первый и последний пароль в каждой цепочке. Первый пароль называется начальной точкой , а последний — конечной точкой . В приведенном выше примере цепочки «aaaaaa» будет начальной точкой, а «kiebgt» — конечной точкой, и ни один из других паролей (или хеш-значений) не будет сохранен.

Теперь, зная хэш-значение h , которое нужно инвертировать (найти соответствующий пароль), вычислите цепочку, начинающуюся с h , применив R, затем H, затем R и так далее. Если в какой-либо момент значение соответствует одной из конечных точек таблицы, соответствующая начальная точка позволяет воссоздать полную цепочку. Существует высокая вероятность того, что эта цепочка будет содержать значение h , и если это так, то непосредственно предшествующее значение в цепочке — это пароль p искомый .

Например, учитывая хэш 920ECF10 его цепочку можно вычислить, сначала применив R:

${\displaystyle {\mathtt {920ECF10}}\,{\xrightarrow[{\;R\;}]{}}\,{\color {Violet}{\mathtt {kiebgt}}}}$

С " kiebgt " — одна из конечных точек в нашей таблице, соответствующий стартовый пароль" аааааа " позволяет следовать по его цепочке до тех пор, пока 920ECF10 достигается:

${\displaystyle {\color {Red}{\mathtt {aaaaaa}}}\,{\xrightarrow[{\;H\;}]{}}\,{\mathtt {281DAF40}}\,{\xrightarrow[{\;R\;}]{}}\,{\mathtt {sgfnyd}}\,{\xrightarrow[{\;H\;}]{}}\,{\mathtt {920ECF10}}}$

Таким образом, пароль " sgfnyd » (или другой пароль с тем же хеш-значением).

Однако обратите внимание, что эта цепочка не всегда содержит хэш-значение h ; может случиться так, что цепочка, начинающаяся с h, сольется с цепочкой, имеющей другую начальную точку. Например, цепочка хеш-значений FB107E70 , также приводит к Я написал :

${\displaystyle {\mathtt {FB107E70}}\,{\xrightarrow[{\;R\;}]{}}\,{\mathtt {bvtdll}}\,{\xrightarrow[{\;H\;}]{}}\,{\mathtt {0EE80890}}\,{\xrightarrow[{\;R\;}]{}}\,{\color {Violet}{\mathtt {kiebgt}}}}$

Цепочка, сгенерированная соответствующим стартовым паролем" аааааа » затем следует до тех пор, пока FB107E70 достигнут. Поиск закончится, не достигнув FB107E70, поскольку это значение не содержится в цепочке. Это называется ложной тревогой . В этом случае совпадение игнорируется и цепочка h расширяется в поисках другого совпадения. Если цепочка h расширяется до длины k без хороших совпадений, то пароль никогда не создавался ни в одной из цепочек.

Содержимое таблицы не зависит от инвертируемого значения хеш-функции. Он создается один раз, а затем повторно используется для поиска без изменений. Увеличение длины цепочки уменьшает размер стола. Однако это также увеличивает время, необходимое для выполнения поиска, и это компромисс между временем и памятью радужной таблицы. В простом случае цепочки из одного элемента поиск происходит очень быстро, но таблица очень большая. Когда цепочки становятся длиннее, поиск замедляется, но размер таблицы уменьшается.

Простые хэш-цепочки имеют несколько недостатков. Самое серьезное, если в какой-то момент две цепочки столкнутся (приведут к одинаковому значению), они сольются, и, следовательно, таблица не будет охватывать столько паролей, несмотря на то, что для их генерации были затрачены одинаковые вычислительные затраты. Поскольку предыдущие цепочки не сохраняются полностью, это невозможно эффективно обнаружить. Например, если третье значение в цепочке 3 соответствует второму значению в цепочке 7, две цепочки будут охватывать почти одну и ту же последовательность значений, но их окончательные значения не будут одинаковыми. Хеш-функция H вряд ли приведет к коллизиям, поскольку обычно это считается важной функцией безопасности, но функция редукции R из-за необходимости правильно охватывать вероятные открытые тексты не может быть устойчивой к коллизиям .

Другие трудности возникают из-за важности выбора правильной функции для R. Выбор R в качестве тождества немногим лучше, чем подход грубой силы. Только когда злоумышленник имеет хорошее представление о вероятных открытых текстах, он сможет выбрать функцию R, которая гарантирует, что время и пространство используются только для вероятных открытых текстов, а не всего пространства возможных паролей. По сути, R преобразует результаты предыдущих хэш-вычислений обратно в вероятные открытые тексты, но это преимущество имеет тот недостаток, что R, скорее всего, не будет генерировать все возможные открытые тексты в классе, который злоумышленник хочет проверить, лишая злоумышленника уверенности в том, что от их выбранный класс. Также может быть сложно спроектировать функцию R, соответствующую ожидаемому распределению открытых текстов. ^[2]

Радужные таблицы [ править ]

Радужные таблицы эффективно решают проблему коллизий с обычными хэш-цепочками, заменяя одну функцию редукции R последовательностью связанных функций редукции от R ₁ до R _k . Таким образом, чтобы две цепочки столкнулись и слились, они должны достичь одного и того же значения на одной и той же итерации : следовательно, конечные значения в этой цепочке будут идентичны. Последний проход постобработки может отсортировать цепочки в таблице и удалить любые «дубликаты» цепочек, которые имеют те же окончательные значения, что и другие цепочки. Затем генерируются новые цепочки для заполнения таблицы. Эти цепочки не лишены коллизий (они могут кратковременно перекрываться), но они не сливаются, что резко сокращает общее количество коллизий. ^{[ нужна цитата ]}

Использование последовательностей функций сокращения меняет способ выполнения поиска: поскольку интересующее значение хеш-функции можно найти в любом месте цепочки, необходимо сгенерировать k различных цепочек. Первая цепочка предполагает, что значение хеш-функции находится в последней позиции хеш-функции, и просто применяет R _k ; следующая цепочка предполагает, что хеш-значение находится в предпоследней позиции хеш-функции, и применяет R _{k -1} , затем H, затем R _k ; и так далее до последней цепочки, в которой применяются все функции сокращения, чередующиеся с H. Это создает новый способ подачи ложного сигнала тревоги: неправильное «угадывание» положения хэш-значения может без необходимости оценивать цепочку.

Хотя радужные таблицы должны следовать за большим количеством цепочек, они компенсируют это меньшим количеством таблиц: простые таблицы хеш-цепочек не могут вырасти за пределы определенного размера, не становясь при этом быстро неэффективными из-за слияния цепочек; Чтобы справиться с этим, они поддерживают несколько таблиц, и каждый поиск должен выполнять поиск по каждой таблице. Таблицы Rainbow могут достигать такой же производительности с таблицами, которые в k раз больше, что позволяет им выполнять в k раз меньше операций поиска.

Пример [ править ]

1. Начиная с хеша («re3xes») на изображении ниже, вычисляется последнее сокращение, использованное в таблице, и проверяется, появляется ли пароль в последнем столбце таблицы (шаг 1).
2. Если тест не пройден ( Рэмбо не появляется в таблице), вычисляется цепочка с двумя последними сокращениями (эти два сокращения представлены на шаге 2).

   Примечание. Если этот новый тест снова не пройден, продолжается 3 сокращения, 4 сокращения и т. д., пока пароль не будет найден. Если ни одна цепочка не содержит пароля, атака не удалась.

3. Если этот тест положительный (шаг 3, linux23 появляется в конце цепочки и в таблице), пароль извлекается в начале цепочки, которая создает linux23 . Здесь мы находим passwd в начале соответствующей цепочки, хранящейся в таблице.
4. На этом этапе (шаг 4) генерируется цепочка и на каждой итерации сравнивается хэш с целевым хешем. Мы находим хэш- ре3ксы в цепочке, а пароль, который их создал ( культуру ) на шаг раньше в цепочке: атака успешна.

В таблицах Rainbow используется усовершенствованный алгоритм с различной функцией сокращения для каждого «звена» в цепочке, так что при возникновении коллизии хешей в двух или более цепочках цепочки не сливаются, пока коллизия не произойдет в одинаковое положение в каждой цепочке. Это увеличивает вероятность правильного взлома для данного размера таблицы за счет возведения в квадрат количества шагов, необходимых для каждого поиска, поскольку процедура поиска теперь также должна перебирать индекс первой функции сокращения, используемой в цепочке. ^[1]

Таблицы Rainbow зависят от хеш-функции, для которой они были созданы, например, таблицы MD5 могут взламывать только хеши MD5. Теорию этой техники изобрел Филипп Окслин. ^[3] как быстрая форма компромисса между временем и памятью , ^[1] который он реализовал в программе Windows для взлома паролей Ophcrack . Позже была разработана более мощная программа RainbowCrack , которая может генерировать и использовать радужные таблицы для различных наборов символов и алгоритмов хеширования, включая LM hash , MD5 и SHA-1 .

В простом случае, когда функция сокращения и хеш-функция не конфликтуют, при наличии полной радужной таблицы (которая гарантирует нахождение соответствующего пароля по любому хешу) размер набора паролей | P | время T , необходимое для вычисления таблицы, длина таблицы L и среднее время t, необходимое для поиска пароля, соответствующего данному хешу, напрямую связаны: ^{[ нужна цитата ]}

${\displaystyle T=|P|}$

${\displaystyle t={\frac {|P|}{2L}}}$

Таким образом, 8-значный регистр строчных буквенно-цифровых паролей (| P | ≃ 3×10 ¹² ) будет легко обрабатываться на персональном компьютере, тогда как 16-значные строчные буквенно-цифровые пароли (| P | ≃ 10 ²⁵ ) было бы совершенно неразрешимо.

Защита от радужных таблиц [ править ]

Радужная таблица неэффективна против односторонних хэшей, включающих большие соли . Например, рассмотрим хэш пароля, созданный с помощью следующей функции (где « + " — оператор конкатенации ):

saltedhash(password) = hash(password + salt)

Или

saltedhash(password) = hash(hash(password) + salt)

Значение соли не является секретным и может генерироваться случайным образом и храниться вместе с хешем пароля. Большое значение соли предотвращает атаки с предварительным вычислением, включая радужные таблицы, гарантируя уникальность хеширования пароля каждого пользователя. Это означает, что два пользователя с одним и тем же паролем будут иметь разные хэши паролей (при условии, что используются разные соли). Чтобы добиться успеха, злоумышленнику необходимо предварительно вычислить таблицы для каждого возможного значения соли. Соль должна быть достаточно большой, иначе злоумышленник может составить таблицу для каждого значения соли. Для старых паролей Unix , в которых использовалась 12-битная соль, потребовалось бы 4096 таблиц, что значительно увеличивает затраты для злоумышленника, но не является непрактичным для терабайтных жестких дисков. Методы SHA2-crypt и bcrypt , используемые в Linux , BSD Unix и Solaris , имеют соли длиной 128 бит. ^[4] Эти более высокие значения соли делают невозможными атаки на эти системы с предварительным вычислением практически для любой длины пароля. Даже если злоумышленник сможет генерировать миллион таблиц в секунду, ему все равно потребуются миллиарды лет, чтобы сгенерировать таблицы для всех возможных солей.

Еще один метод, который помогает предотвратить атаки с предварительным вычислением, — это растяжение ключей . При использовании растяжения соль, пароль и некоторые промежуточные значения хеш-функции несколько раз пропускаются через базовую хэш-функцию, чтобы увеличить время вычислений, необходимое для хеширования каждого пароля. ^[5] Например, MD5-Crypt использует цикл из 1000 итераций, который неоднократно передает соль, пароль и текущее промежуточное хеш-значение обратно в базовую хеш-функцию MD5. ^[4] Хэш пароля пользователя представляет собой объединение значения соли (которое не является секретным) и окончательного хеша. Дополнительное время незаметно для пользователей, поскольку им приходится ждать лишь долю секунды при каждом входе в систему. С другой стороны, растяжение снижает эффективность брутфорс-атак пропорционально количеству итераций, поскольку уменьшает время количество попыток, которые злоумышленник может выполнить за определенный период времени. Этот принцип применяется в MD5-Crypt и bcrypt. ^[6] Это также значительно увеличивает время, необходимое для построения предварительно вычисленной таблицы, но при отсутствии соли это нужно сделать только один раз.

Альтернативный подход, называемый усилением ключа , расширяет ключ случайной солью, но затем (в отличие от растяжения ключа) надежно удаляет соль. Это вынуждает как злоумышленника, так и законных пользователей выполнять поиск значения соли методом перебора. ^[7] Хотя статья, в которой было представлено растяжение клавиш ^[8] Ссылаясь на эту более раннюю технику и намеренно выбрав другое название, термин «укрепление клавиш» теперь часто (возможно, неправильно) используется для обозначения растяжения клавиш.

Радужные таблицы и другие атаки с предварительным вычислением не работают против паролей, которые содержат символы, выходящие за пределы предполагаемого диапазона, или которые длиннее, чем те, которые были предварительно вычислены злоумышленником. Однако можно создать таблицы, учитывающие распространенные способы, которыми пользователи пытаются выбрать более безопасные пароли, например добавление цифры или специального символа. Из-за значительных инвестиций в вычислительную обработку радужные таблицы длиной более четырнадцати знаков пока не распространены. Таким образом, выбор пароля длиной более четырнадцати символов может заставить злоумышленника прибегнуть к методам перебора. ^{[ нужна цитата ]}

Конкретные интенсивные усилия, сосредоточенные на LM hash , более старом алгоритме хеширования, используемом Microsoft, общедоступны. Хэш LM особенно уязвим, поскольку пароли длиной более 7 символов разбиваются на две части, каждая из которых хэшируется отдельно. Выбор пароля длиной пятнадцать символов и более гарантирует, что LM-хеш не будет сгенерирован. ^[9]

Общее использование [ править ]

Почти все дистрибутивы и варианты Unix , Linux и BSD используют хэши с солью, хотя многие приложения используют только хеш (обычно MD5 ) без соли. Семейство Microsoft Windows NT/2000 использует метод хеширования LAN Manager и NT LAN Manager (на основе MD4 ), а также не содержит соли, что делает его одной из наиболее часто генерируемых таблиц. С 2020 года использование радужных таблиц сократилось, поскольку засолка стала более распространенной, а атаки грубой силы на основе графического процессора стали более практичными. Однако радужные таблицы доступны для восьми- и девятизначных паролей NTLM . ^[10]

См. также [ править ]

• А5/1
• Атака грубой силой
• ДистрРТген
• Алгоритм кенгуру Полларда

Примечания [ править ]

Ссылки [ править ]

• Охслин, Филипп (17 августа 2003 г.). «Ускорение криптоаналитического компромисса между временем и памятью». Достижения в криптологии - CRYPTO 2003 (PDF) . Конспекты лекций по информатике. Том. 2729. Санта-Барбара, Калифорния , США: Спрингер. стр. 617–630. дои : 10.1007/978-3-540-45146-4_36 . ISBN  978-3-540-40674-7 . S2CID   16086595 . Архивировано из оригинала (PDF) 26 сентября 2020 г. Проверено 13 марта 2019 г.

Внешние ссылки [ править ]

• Страница Ophcrack от Филиппа Охслина Оригинальное исследование радужной таблицы
• Криптография в Curlie