Elcomsoft: "До нас никто не использовал GPU для ломания паролей"

Российская компания Elcomsoft подала в США патентную заявку на новую технологию восстановления паролей с использованием графических процессоров (GPU), что значительно увеличивает скорость перебора по сравнению с обычным методом, когда используется только центральный процессор (CPU).

В частности, использование параллельных вычислений на видеокарте GeForce 8800 Ultra от NVIDIA позволяет ускориться в 25 раз. И даже на обычных персоналках с более дешевыми видеокартами восьмисимвольные пароли для Windows Vista теперь можно подбирать за три-пять дней вместо двух месяцев, как раньше.

Новость об этом достижении вызвала в западной прессе не только сомнения в оригинальности метода, но и обычные в таких случаях опасения по поводу использования метода хакерами. На эти и другие каверзные вопросы отвечают "Вебпланете" президент Elcomsoft Александр Каталов и исполнительный директор компании Владимир Каталов.

АА: Что именно вы патентуете? Некоторые западные эксперты говорят, что для них это не новость - например, были исследования в Columbia Univeristy в 2003-2005. Есть подозрения, что разные спецслужбы этим пользуются давно...

АК: Использование именно GPU для крипто стало возможным совсем недавно, только с появлением серии GeForce 8xxx (чипсет - в конце прошлого года, реальные платы - в начале этого). До этого графические платы ориентировались только на floating point - именно он нужен для 3D-рендеринга. А в этом чипсете появилась поддержка целочисленных операций. Так что в 2003-2005 это было сложно спрогнозировать.

Вообще система патентования в США одновременно и очень сложная, и очень гибкая. Подашь заявку слишком "широко" - ну например, "использование специализированных процессоров для криптографических вычислений" - она либо не пройдет сразу, либо не будет стоить усилий, потраченных на патентование. А если слишком "узко" - конкуренты могут слегка модифицировать описание, и оно у них тоже пройдет. А потом начинаются патентные конфликты.

Ну и немаловажный фактор патентования, особенно для США: если бы мы не запатентовали, а просто выпустили программу и пресс-релиз - то легко нашлась бы фирма, которая ничего не делала бы, а просто запатентовала бы и подала на нас в суд в США, требуя денег. Мы бы его с большой вероятностью выиграли - но сколько стоит судиться в США, я отлично знаю.

ВК: Патентуем мы, естественно, не сам факт ломания паролей на GPU, а некоторые аспекты технологии. Это не так-то просто сделать эффективно. Проблема заключается, во-первых, в организации обмена данными между CPU и GPU - он довольно медленный. И во-вторых - в распараллеливании процесса в соответствии с количеством ядер GPU. Кроме того, в заявке проводится анализ, какие именно криптоалгоритмы хорошо ложатся на GPU и почему.

Сама же идея не-графических вычислений на GPU действительно не нова. Но вот для ломания паролей почему-то никто до сих пор не использовал. Хотя наши конкуренты из AccessData еще полгода назад анонсировали специальную заказную "железку", а через несколько дней наконец должны показать её на security-конференции в Штатах. Однако она стоит аж $5.000 - а ускоряет примерно так же, как не самая мощная видеокарточка.

Ну, а есть ли в нашей заявке новизна - это будет решать USPTO.

АА: К вам уже побежала толпа новых клиентов? Кстати, интересно, как много из них российских.

ВК: Ну, не то чтобы толпа, но приток как посетителей на сайте, так и покупателей довольно заметный. Доля российских клиентов у нас небольшая, в пределах 3% от общего объёма. Однако с каждым годом она увеличивается - несколько лет назад была в пределах статистической погрешности, а сейчас уже заметна.

АК: На данный момент мы выпустили только перебор NTLM, причем только для дорогого корпоративного продукта - EDPR. Да и произошло это всего пять дней назад. Так что о результатах судить пока рано.

АА: Не дешевле ли использовать распределенные параллельные вычисления на множестве компьютеров - просто добавить в сеть несколько машин с обычными вычислительными мощностями, а не "разгонять" имеющиеся компьютеры через видеокарты?

ВК: Нет, не дешевле. Простая математика: одна хорошая карточка молотит пароль с такой скоростью, как 20-30 обычных компьютеров, завязанных в сеть.

АК: При стоимости видеокарты в $200 - явно не дешевле. И опять-таки, программа, которую мы сейчас выпустили, позволяет работать распределенно. Мы можем объединить в сеть сотни компьютеров, на каждом из них будет стоять GPU. Кстати, не обязательно именно с GeForce - на "простых" будет работать центральный процессор. А объединять мы умеем не только в локальные сети, но и через Интернет.

АА: Поможет ли эта технология хакерам? Ведь получается, что теперь для решения определенных задач не обязательно заводить супер-компьютер. Значит, производителям цифровых продуктов в массовом порядке придется ставить более мощную защиту?

ВК: Нет, оснований для беспокойства нет. Ускорение перебора в 20-25 раз может потревожить только тех, у кого политика безопасности была относительно слабой, я бы сказал - "на грани". Теперь есть ещё один повод её пересмотреть.

АК: Наши продукты вообще имеют крайне слабое отношение к тем, кого понимают под "хакерами". Удаленно при помощи наших программ взломать ничего нельзя.

АА: Несколько лет назад хайтековские СМИ посмеивались над новостью о том, что Саддам Хусейн закупил кучу игровых приставок PlayStation, чтобы сделать суперкомпьютер...

АК: Это был скорее демонстрационный шаг Саддама. Существуют ограничения по поставке суперкомпьютеров в страны "оси зла", причем эти ограничения выражены в численном виде. Типа, не более 10 Гигафлопс (цифра здесь условная). Компания Sony, выпустив PlayStation 2, начала говорить в рекламе, что их графический процессор имеет такую-то большую производительность. Саддам купил 100 штук и заявил, что вот теперь он сможет создать суперкомпьютер, превосходящий ограничения. Это был чисто демонстрационный шаг. Я думаю, Саддаму было понятно, что даже если он что-нибудь и сделает, то ядерные взрывы он на этом все равно моделировать не сможет.

АА: А можно ли ваш метод перенести на игровые приставки? Там же графические процессоры очень неплохие...

ВК: Мы не пробовали. Вполне возможно. Но для PlayStation программировать потруднее, а NVIDIA со своим проектом CUDA делают разработку под GeForce очень доступной.

АК: Графические процессоры PlayStation могут быть неплохими для 3D-рендеринга, но не факт, что они подойдут для криптоалгоритмов. Кстати, даже на GeForce отнюдь не все криптоалгоритмы можно реализовать. А может, и можно - но просто нет смысла, скорость будет в 25 раз меньше, чем у CPU.

АА: Есть ли еще какие-нибудь варианты "альтернативного" использования мощностей графического процессора - кроме восстановления паролей?

ВК: Вот немного ссылок по использованию GPU для крипто:

Remotely Keyed Cryptographics Secure Remote Display Access Using (Mostly) Untrusted Hardware
http://www.ncl.cs.columbia.edu/publications/icics2005.pdf

Secret Key Cryptography Using Graphics Cards
ucs-002-04.pdf...

Using Graphic Processing Unit in Block Cipher Calculations
http://dspace.utlib.ee/dspace/bitstream/10062/2654/1/rosenberg_urmas.pdf

Using Modern Graphics Architectures for General-Purpose Computing: A Framework and Analysis
http://www.cs.washington.edu/homes/oskin/thompson-micro2002.pdf

AES Encryption Implementation and Analysis on Commodity Graphics Processing Units
https://www.cs.tcd.ie/~harrisoo/publications/AES_On_GPU.pdf

dnetc RC5-72 + nvidia 8800 GTX = 144 Mkeys/sec
831...

Так что крипто на GPU используют достаточно давно, но все изыскания были чисто теоретическими. А в ломании паролей есть своя специфика - для метода brute force (грубый перебор) надо серьёзно оптимизировать как генерацию паролей, так и обмен данными между CPU и GPU.

Есть также первый коммерческий софт более общего характера, использующий GPU:
http://www.manifold.net/

Можно еще упомянуть проект Tesla - бюджетный суперкомпьютер от NVIDIA, построенный на их же графических чипах, таких же, как в GeForce. Правда, он ещё не вышел, и даже цена пока не объявлена. Но это будет ещё эффективнее, чем видеокарты.

Другие интервью