Hashcat

この項目「Hashcat」は翻訳されたばかりのものです。不自然あるいは曖昧な表現などが含まれる可能性があり、このままでは読みづらいかもしれません。（原文：英語版 "Hashcat" 2022年5月6日 (金) 18:16 (UTC)） 修正、加筆に協力し、現在の表現をより自然な表現にして下さる方を求めています。ノートページや履歴も参照してください。（2022年7月）

Hashcatは、パスワード復元ツールである。以前はプロプライエタリソフトウェアであったが、2015年にオープンソースソフトウェアとして公開された。Linux、macOS及びWindowsで利用することができる。対応している暗号学的ハッシュ関数の例としてはLMハッシュ、MD4、MD5、SHAシリーズ、crypt（英語版）及びMySQLとCisco PIX（英語版）で使用されているアルゴリズムなどがある。

Hashcat

開発元	Jens 'atom' Steube, Gabriele 'matrix' Gristina
最新版	6.2.5 / 2021年11月21日 (2年前) (2021-11-21)
リポジトリ	github.com/hashcat/hashcat
対応OS	クロスプラットフォーム
種別	パスワードクラッキング
ライセンス	MIT License
公式サイト	www.hashcat.net
テンプレートを表示

Hashcatはその最適化によって公に注目されている。この最適化の一部は、hashcatの作者によって発見された他のソフトウェアの脆弱性などに基づいている。例えば、1Password（英語版）のパスワードマネージャーのハッシュ化スキームの脆弱性がそれに該当する^[1]。また、HashcatはUSENIXの出版物で同様のソフトウェアと比較され^[2]、このことがArs Technicaで説明されている^[3]。

変種

以前は、hashcatには2つの変種が存在した:

• hashcat - CPUベースのパスワード復元ツール
• oclHashcat/cudaHashcat - GPGPUツール^{[注釈 1]}

hashcat v3.00からはこれらの変種がhashcatと呼ばれる単一のツールに統合された。CPUだけのバージョンはhashcat-legacyになった^[4]。これらはどちらもOpenCLが必要である。

hashcat-legacyが対応しているアルゴリズムの多く^{[注釈 2]}はGPUベースのhashcatを使用するとより短い時間で解読することができる^[5]。但し、全てのアルゴリズムをGPUによって高速化できるわけではない。bcryptがその一例である。データに依存する分岐、逐次化、メモリなどの要因によってoclHashcat/cudaHashcatはhashcat-legacyを包括的に置き換えることができなかった。

hashcat-legacyはLinux、macOS及びWindowsで利用することができる。hashcatはOpenCLに対応したGPU、CPU、FPGAやその他のアクセラレータカードを備えたLinux、macOS及びWindows環境で利用することができる。

出力例

$ hashcat -d 2 -a 0 -m 400 -O -w 4 example400.hash example.dict

hashcat (v5.1.0) starting...

OpenCL Platform #1: Intel(R) Corporation
========================================
* Device #1: Intel(R) Core(TM) i5-2500K CPU @ 3.30GHz, skipped.

OpenCL Platform #2: NVIDIA Corporation
======================================
* Device #2: GeForce GTX 970, 1010/4041 MB allocatable, 13MCU
* Device #3: GeForce GTX 750 Ti, skipped.

Hashes: 1 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates
Rules: 1

Applicable optimizers:
* Optimized-Kernel
* Zero-Byte
* Single-Hash
* Single-Salt

Minimum password length supported by kernel: 0
Maximum password length supported by kernel: 55

Watchdog: Temperature abort trigger set to 90c

Dictionary cache hit:
* Filename..: example.dict
* Passwords.: 128416
* Bytes.....: 1069601
* Keyspace..: 128416

The wordlist or mask that you are using is too small.
This means that hashcat cannot use the full parallel power of your device(s).
Unless you supply more work, your cracking speed will drop.
For tips on supplying more work, see: https://hashcat.net/faq/morework

Approaching final keyspace - workload adjusted.

$H$9y5boZ2wsUlgl2tI6b5PrRoADzYfXD1:hash234       
                                                 
Session..........: hashcat
Status...........: Cracked
Hash.Type........: phpass, WordPress (MD5), phpBB3 (MD5), Joomla (MD5)
Hash.Target......: $H$9y5boZ2wsUlgl2tI6b5PrRoADzYfXD1
Time.Started.....: Thu Apr 25 05:10:35 2019 (0 secs)
Time.Estimated...: Thu Apr 25 05:10:35 2019 (0 secs)
Guess.Base.......: File (example.dict)
Guess.Queue......: 1/1 (100.00%)
Speed.#2.........:  2654.9 kH/s (22.24ms) @ Accel:128 Loops:1024 Thr:1024 Vec:1
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 128416/128416 (100.00%)
Rejected.........: 0/128416 (0.00%)
Restore.Point....: 0/128416 (0.00%)
Restore.Sub.#2...: Salt:0 Amplifier:0-1 Iteration:1024-2048
Candidates.#2....: 0 -> zzzzzzzzzzz
Hardware.Mon.#2..: Temp: 44c Fan: 40% Util: 50% Core:1265MHz Mem:3004MHz Bus:8

Started: Thu Apr 25 05:10:32 2019
Stopped: Thu Apr 25 05:10:37 2019

攻撃の種類

Hashcatは効果的な攻撃とハッシュの複雑な鍵空間を網羅するために以下のような複数の攻撃方法を提供している:

• 総当たり攻撃^[6]
• コンビネータ攻撃^[7]
• 辞書攻撃^[8]
• フィンガープリント攻撃
• ハイブリッド攻撃^[9]
• マスク攻撃^[10]
• 置換攻撃
• ルールベース攻撃^[11]
• ルックアップテーブル攻撃^{[注釈 3]}
• トグルケース攻撃^[12]
• PRINCE攻撃^{[注釈 4][13]}

従来の総当たり攻撃は時代遅れと考えられており、Hashcatの中心チームは完全な代替としてマスク攻撃を推奨している。

大会

Team Hashcat^{[注釈 5][14]}は、2010年^[15]、2012年、2014年^[16]、2015年^[17]及び2018年のDEF CON（英語版）で開催されたKoreLogicの「Crack Me If you Can」大会と2017年のDerbyCon（英語版）で優勝した。

脚注

[脚注の使い方]

注釈

1. ^ OpenCLまたはCUDA。
2. ^ MD5、SHA-1など。
3. ^ CPUのみ。
4. ^ CPU版はバージョン0.48以降のみ。
5. ^ Hashcatの中心メンバーで構成されているHashcatソフトウェアの公式チーム。

出典

1. ^ “On hashcat and strong Master Passwords as your best protection”. Passwords. Agile Bits (2013年4月16日). 2022年7月8日閲覧。
2. ^ Ur, Blase (2015-08-12). “Measuring Real-World Accuracies and Biases in Modeling Password Guessability”. Proceedings of the 24th USENIX Security Symposium. https://www.usenix.org/system/files/conference/usenixsecurity15/sec15-paper-ur.pdf. 
3. ^ Goodin, Dan (2013年8月26日). “"thereisnofatebutwhatwemake" - Turbo-charged cracking comes to long passwords” (英語). Ars Technica. 2020年7月21日閲覧。
4. ^ “hashcat v3.00”. Hashcat. Hashcat project (2016年6月29日). 2022年7月8日閲覧。
5. ^ “Recent Developments in Password Cracking”. Passwords. Bruce Schneier (2012年9月19日). 2022年7月8日閲覧。
6. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
7. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
8. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
9. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
10. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
11. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
12. ^ “Hashcat [hashcat wiki]”. 2022年7月8日閲覧。
13. ^ “PRINCE: modern password guessing algorithm”. Hashcat site. Hashcat (2014年12月8日). 2022年7月8日閲覧。
14. ^ Team Hashcat
15. ^ “"Crack Me If You Can" - DEFCON 2010”. contest-2010.korelogic.com. 2020年7月21日閲覧。
16. ^ “Crack Me If You Can 2014 Contest”. KoreLogic Security. 2022年7月8日閲覧。
17. ^ “Another trophy in the Pocket! Win @ CMIYC contest 2015”. hashcat.net. 2020年7月21日閲覧。

関連項目

• 総当たり攻撃
• 力まかせ探索
• Openwall Project（英語版）
• パスワードクラック

外部リンク

• 公式ウェブサイト
• A guide to password cracking with Hashcat
• Talk: Confessions of a crypto cluster operator based on oclHashcat at Derbycon 2015
• Talk: Hashcat state of the union at Derbycon 2016