Брутфорс 1Password с помощью GPU на скорости 3 Мхэша/с Эксперты-криминалисты и специалисты по восстановлению паролей добились высокого показателя скорости проверки хэшей от популярного менеджера паролей 1Password. Это стало возможным в том числе благодаря не очень грамотной реализации алгоритмов в приложении 1Password. Программа 1Password использует алгоритм PBKDF2-HMAC-SHA1 для генерации 320-битного ключа, который потом сокращается до 256-битного. В этом нет ничего странного, так делают многие алгоритмы, вроде WPA. Схема PBKDF2-HMAC-SHA1 спроектирована таким образом, чтобы затруднить вычисления. Каждая итерация PBKDF2-HMAC-SHA1 требует восемь вызовов SHA1, чтобы сгенерировать 320-битный ключ. Специалистам удалось оптимизировать процедуру брутфорса. Помогло ещё и то, что при брутфорсе 1Password для проверки хэша достаточно сгенерировать всего 160 бит вместо 320 бит, и проверка осуществляется по небольшому фрагменту блока. Это объясняется использованием AES-128 в режиме CBC. Из-за упомянутого бага и благодаря оптимизациям получается, что тысяча итераций PBKDF2-HMAC-SHA1 требуют не 8000 вызовов SHA1, как должно быть в теории, а всего 2002. Как результат, программа для взлома паролей oclHashcat-plus способна проверять почти 3 миллиона парольных хэшей 1Password в секунду на двух графических картах HD6990. Подробнее о концептуальных уязвимостях дизайна 1Password и других парольных менеджеров см. http://blog.agilebits.com/2012/11/08/dont-trust-a-password-management-system-you-design-yourself/. 17.04.2013 http://www.xakep.ru/post/60466/