[DPC] MD5 Idee?

Voordat je post, het idee is al eerder voorbij gekomen, als er iets bij verzonnen kan worden hoor ik het graag, liever geen posts meer zoals "er is al een md5 DC project".

Iedereen kent het MD5 encryptie wel. En velen zullen vast wel weten dat deze ook niet te decoden is. Nu zijn er programmatjes die deze hashes kunnen bruteforcen.
Stel, ik heb een md5 encode password:

6f1ed002ab5595859014ebf0951522d9

Deze programmatjes pakken dan volgens een default charset steeds meer chars en combinaties er van, zetten deze om tot md5 hashes en kijken of ze overeenkomen, is dit het geval, dan weet men het wachtwoord (de combinatie van letters en cijfers die encode overheen komt met de orginele md5 hash).

edit; plaatje weg

Nu kan je zien dat er een gemiddelde is van 6 miljoen hashes per seconde:
Als we 62 chars hebben en we willen bijvoorbeeld uitrekenen hoe lang het maximaal zou duren om een password die omgezet is naar md5 van 7 chars doen we:

62 tot de 7 = 3521614606208
Als wij een gemiddelde hebben van 5929948 hashes per seconde,
doen we 3521614606208 / 5929948 zouden we er 593869 seconde over doen, delen door 60 maakt: 9897 minuten maakt (gedeeld door 60) 164 uur maximaal.
Als onze default charset dus:
abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ is, is onze 62e char de Z, als ons password zou bestaan uit ZZZZZZ (maximale waarde), zouden we 164 uur nodig hebben (met 6miljoen chars per seconde) om deze te bruteforcen.

Elke char meer in het password, betekent dus x62 (oftewel 1 macht meer), zou het geen optie zijn om een koe te programmen die 8 of zelf 9 chars md5 zou bruteforcen?

(dit is mijn eerste topic in DPC dus wees niet te hard )

[ Voor 9% gewijzigd door danslo op 19-04-2004 22:06 ]

Mark83 schreef op 20 maart 2004 @ 16:13:
Een koe programmeren die dat kan ... dat is nog te doen ... maar nu nog een server die ermee om kan gaan ... das alweer andere koek ... Bij het maken van een Distributed Computing programma komt meer kijken dan je denkt, het is niet alleen de software die het uitrekend. Maar als iemand tijd over heeft, en creatief genoeg is, dan kan het wel

Ja hehe, het was maar een idee, ik was een beetje met MD5 bezig en zag een vriend die in BVD zit enzo, dus toen kwam ik op dit idee.. Sja, server maken zal een beetje worden prutsen, maar het meeste proc vebruiken gaat toch bij de gebruikers worden, dus, any programmers?

X-G schreef op 20 maart 2004 @ 16:18:
Maar wat wil je doen dan precies? Een zo groot mogelijk tekstje verzinnen en die door derden laten kraken of wat?

Een password van 8 of 9 chars encoden (8 is al erg veel) en dan doormiddel van koetjes (derden ) laten cracken bruteforcen.

[ Voor 3% gewijzigd door danslo op 20-03-2004 16:21 ]

X-G schreef op 20 maart 2004 @ 16:29:
62⁸ = 218340105584896

218340105584896 / 5929948 = 36819902,23 seconden

36819902,23/60/60 = 10227,75 uur

wow.

5000 koe gebruikers die hem 2 uur aan laten staan?

X-G schreef op 20 maart 2004 @ 16:33:
nu zie ik inderdaad de potentie ervan ja.. vooral als je met ⁹ of ¹⁰ gaat werken. Maar hoe ben je dan van plan die 10.000 uur in 5000 pakjes te duwen?

BTW, die hashes v 5,9 miljoen / sec is gehaald op een .... ?

Antwoord op eerste vraag kan ik je niet geven, het is mijn idee maar ik SUCk in programmen. En dus hoop ik dat iemand anders een antwoord hierop kan geven

Die 5,9 miljoen per seconde zijn gehaald op een Amd Athlon XP2600+ non OCed op luchtkoeling.
edit (dit was een halve seconde, als je iets langer door gaat haal je de 6 miljoen )

[ Voor 7% gewijzigd door danslo op 20-03-2004 16:38 ]

Voor de liefhebbers: Het MD5 crackertje

Verwijderd schreef op 20 maart 2004 @ 16:38:
Er zit geen wetenschappelijk idee achter dit project heb ik het idee.
Het wordt pas interessant als je met woordenlijsten gaat werken en dan gaat kijken wie een bepaalde lijst met wachtwoorden het snelst heeft gekraakt. Dan komt er ook nog een tactisch element bij, naast het CPU element natuurlijk.

Maar dan nog, wetenschappelijk is het niet, en je maakt je als DPC ook niet gelieft als je wachtwoorden gaat kraken. Want zeg nou zelf, het zou niet lang duren voordat er echte wachtwoorden van bepaalde personen in omloop worden gebracht.

Er zal maar 1 hash worden gekraakt, en het moet zeker zijn dat dit geen normale string is; dus ik zie meer iets verschijnen als Z49gUnN6

En de wetenschappelijke idee, zoals ik boven heb vermeld, ik heb het beginideetje verzonnen, misschien dat jij een antwoord weet op je eigen vraag?

[ Voor 85% gewijzigd door danslo op 20-03-2004 16:42 ]

Verwijderd schreef op 20 maart 2004 @ 16:42:
Trouwens, dit bestaat al gewoon volgens mij, in de vorm van Distributed John:

Zie http://www.openwall.com/john/ en http://ktulu.com.ar/en/djohn.php of http://freshmeat.net/projects/djohn/

John the ripper is een cracker voor DES wachtwoorden (als ik me niet vergis) dit is een ecnryptie die gewoon gedecode kan worden.

Mr_Atheist schreef op 20 maart 2004 @ 16:44:
Maar je gaat voorbij aan het feit dat het bekend is MD5 te kraken... Daar is niks nieuws aan. RC5 heeft nog als 'nut' dat het onmogelijk lijkt om te kraken.

Eenieder is natuurlijk gerechtigd te doen wat hij wil met zijn PC, maar ik zie er persoonlijk meer nut in om op meer wetenschappelijke basis om te gaan met mijn CPU-cycles. Ik doe dan ook sinds jaar en dag mee aan allerhande eiwit-vouw projecten of klimaatmodelsimulaties

Vandaar is mijn idee ook nog niet volledig, misschien valt er iets aan toevoegen, waardoor het nooit geprobeerd is, of onmogelijk lijkt.

Verwijderd schreef op 20 maart 2004 @ 16:46:
[...]

DES, idd. Ik was in de veronderstelling dat John ook MD5 aankon, maar dat kan ik verkeerd hebben.
Wat het decoden betreft: dat lijkt me niet, want dan zou john niet met woordenlijsten werken...

Ik meen me te herinneren dat ik een DES wachtwoord gedecode heb zonder woordenlijst?

[ Voor 24% gewijzigd door danslo op 20-03-2004 16:48 ]

lowrider schreef op 20 maart 2004 @ 17:02:
[...]


Sterker nog hier staat een meukje van de nieuwe client. Gepost op 8 maart

Ok, dus het is mogelijk, nu nog wachten op ideën van mensen die er iets bij kunnen verzinnen. Even in topictstart zetten.

Bij encryptie is er sprake van het coderen van informatie om te voorkomen dat anderen de originele informatie kunnen reproduceren, maar waarbij je dat zelf (of een andere vertrouwde partij) nog wel kunt.
MD5 doet dit niet. MD5 is een hashing algoritme, en doet dus iets heel anders. MD5 levert aan de hand van een bepaalde invoer een hashwaarde als uitvoer op, die altijd dezelfde lengte heeft en die (als het goed is) zo verschillend mogelijk is bij een verschillende invoer. Het handige hiervan is dat je aan de hand van hun hashwaarden met een redelijke zekerheid kunt zeggen of twee gegeven invoeren gelijk zijn zonder dat je die in hun geheel hoeft op te slaan.

En waarom zouden wij deze wachtwoorden niet opslaan in hun geheel? Juist ja kijk eens naar je stukje geschreven over encryptie. (zelf aanpassen? md5 kan dat ook, je encode gewoon je pass weer )

Er valt ook weinig te decoderen. Omdat de uitvoer van MD5 een vaste lengte heeft, zijn er per definitie oneindig veel mogelijke invoeren die een bepaalde uitvoer opleveren. Je kunt dus wel een mogelijke invoer vinden die erbij hoort, maar je weet nooit of dit de oorspronkelijke invoer was.

Als ik zeg dat iets niet te decoden valt, kan dat toch ook betekenen dat er niks te decoden is? Er wordt immers alleen gezegd dat het niet gedecode kan worden, ik snap je aggresieviteit niet tegenover mij terwijl ik bij alle 2 mijn zinnen precies bedoel bij jouw uitleg...

edit; zoiezo gaat dit om een idee over DC, ik hoef dus geen les in code/encode oid.

[ Voor 6% gewijzigd door danslo op 20-03-2004 18:18 ]

X-G schreef op 20 maart 2004 @ 18:21:
Hmmm.. een pass hashen, die hash hashen, die hash hashen en dan maar achter pass komen

als je een gehashte pass hasht heb je al 62 tot de macht van 32, je wilt niet weten hoeveel dat is

62 tot de 32e = te veel voor windows calculator

[ Voor 10% gewijzigd door danslo op 20-03-2004 18:24 ]

X-G schreef op 20 maart 2004 @ 18:25:


Dan begint het pas intressant te worden het in blokjes op te delen en teams te laten battlen.

uhh? zelfs met 12 chars ben je met 16 miljoen gebruikers een jaar bezig als die pcs dag en nacht aan staan en als ze ongeveer even snelle proc als mij hebben. Dan wil je niet meer weten wat 12 chars is.

Henk007 schreef op 20 maart 2004 @ 18:43:
[...]
gezien de eindige lengte van een md5 hash (128 bits). Er zijn dus 2^128 verschillende resultaten mogelijk. Hoe snel je een match vindt, hangt alleen af van de geïnvesteerde rekencapaciteit.

hmmm, kan je dit uitleggen? ik dacht dat er 26 (letters) + 10 (cijfers) = 36^32 (hoeveelheid chars in een md5 string)

Vertel mij niets over getalstelsels, ik weet prima hoe ik moet heen en weer rekenen van en naar binair/octaal/decimaal/hexadecimaal. Ik had er gewoon nog nooit op gelet...

joh14vers6 schreef op 20 maart 2004 @ 20:58:
[...]

=2,2726578844967513453552415636275e+57 volgens mijn Windows calculator.

Probeer maar op een echte rekenmachine

Windows Calculator kan het gewoon niet aan.

December schreef op 22 maart 2004 @ 10:21:
[...]
Het kan aan mij liggen, maar mijn grafische rekenmachine geeft hetzelfde antwoord, alleen dan zelfs in minder getallen

Ik zie het, het getal is blijkbaar veel te veel