Hashcat snelste Truecrypt-kraker ter wereld
De maker van het populaire kraakprogramma Hashcat heeft een versie ontwikkeld die in staat is om hashes van het encryptieprogramma Truecrypt te kraken. Truecrypt wordt voornamelijk gebruikt voor het versleutelen van laptops en computers. Daarnaast kan het ook versleutelde 'containers' op bijvoorbeeld USB-sticks en externe harde schijven aanmaken.
Om toegang tot de versleutelde data te krijgen moet een passphrase worden opgegeven. Zonder deze passphrase is het zeer lastig om de gegevens te benaderen. Een aanvaller moet in dit geval de Truecrypt-hash, een gecodeerde versie van het wachtwoord, proberen te kraken. Een tijdrovend proces, zeker in het geval van Truecrypt.
Begin mei werd er op het Hashcat-forum een poll georganiseerd welk algoritme het kraakprogramma moest gaan ondersteunen. Met 14% was Truecrypt de winnaar. Hashcat gebruikt de rekenkracht van moderne videokaarten om in hoog tempo allerlei wachtwoord-hashes te kraken.
Videokaart
Met behulp van twee AMD Radeon 6990 videokaarten wist de ontwikkelaar van Hashcat 223.000 Truecrypt-hashes per seconde te berekenen. Het gaat hier wel om hashes die met het RipeMD160 algoritme zijn gemaakt, wat standaard in Truecrypt geselecteerd staat. Wordt bijvoorbeeld het Whirlpool-algoritme gekozen, dan is Hashcat in staat om 49.000 hashes per seconde te berekenen.
"Deze tests laten zien dat oclHashcat-plus de snelste Truecrypt-kraker ter wereld is", aldus 'Atom', de ontwikkelaar van Hashcat. Hij merkt op dat de snelheid van het kraken van RipeMD160 hashes nog sneller kan worden als chipfabrikant AMD een bug in de driver van de videokaart oplost. De versie van oclHashcat die TrueCrypt-hashes kan kraken is nog niet beschikbaar voor het publiek.
Dit zie ik in de uitvoer in de gelinkte pagina:
Speed.GPU.#2...: 55775 H/s
Speed.GPU.#3...: 55795 H/s
Speed.GPU.#4...: 55797 H/s
Speed.GPU.#*...: 223.2 kH/s
Recovered......: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Dan veranderen KHashes in GHashes en is het exit-Truecrypt!! (Falsecrypt)
How's that for Shitting on your own doorstep!?
Just my 2 cents
Mik3
Overstappen op het gebruik van een sleutelbestand komt dan zeker dichterbij.
Dan veranderen KHashes in GHashes en is het exit-Truecrypt!! (Falsecrypt)
How's that for Shitting on your own doorstep!?
Just my 2 cents
Mik3
Als dat met de huidige computers in de orde van miljoenen jaren is, dan zal een factor 1000 versnellen nog steeds in de orde van duizenden jaren zijn.
Dan moet je al heel veel systemen parallel laten rekenen om het nog terug te brengen naar acceptabele tijden en dus kost het dan alsnog kapitalen.
Of je data dan dus gevaar loopt, zal dus nog steeds afhankelijk zijn van de waarde van die data.
Dit is weer gewoon een kwestie van zwakke wachtwoorden die gekraakt kunnen worden en op geen enkele manier een aanval op de veiligheid van truecrypt of ripemd-160 ansich.
Ook al worden er ASIC's gemaakt die 100.000.000 x de performance hebben is het alsnog veilig als je een goed wachtwoord kiest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
