DST40トランスポンダー：操作の原理、出現とハッキングの歴史、および少しのブルートフォースプラクティス

むかしむかし、前世紀の90年代に、成長を続ける自動車市場では、深刻な盗難防止システム（以下、イモビライザーと呼びます）が切実に必要でした。 当時の自動車泥棒にとっては、キーを機械的にコピーしたり、キーをまったく使用せずにエンジンを始動したりするための特別な障害はありませんでした。 エンジンを始動するプロセスをさらに複雑にし、ネイティブのイグニッションキーなしで車をさらに盗むことができるイモビライザーが必要でした。



その時、コンパクトな無線モジュール（以下、トランスポンダーと呼びます）を作成するというアイデアが浮かびました。これは、車のイグニッションキーに直接組み込まれました。 車には、イモビライザーが設置され、無線チャネルを介してトランスポンダーと通信しました。 イモビライザーはトランスポンダーにリクエストを送信し、トランスポンダーは特定のコードで応答しましたが、それなしではイモビライザーはエンジンの始動を許可しませんでした。 ただし、最初はトランスポンダーはまだかなり原始的で、デバイスを比較的簡単に複製できました。 交換アルゴリズムを理解し、トランスポンダの応答をシミュレートするには、肩にラジオインターセプターとライトヘッドがあれば十分です。 イモビライザーとトランスポンダー間の通信アルゴリズムの根本的な変更が必要でした。



今日は、これらのアルゴリズムのいずれかの出現とその後のハッキングの歴史、および秘密暗号化キーのブルートフォースプロセスの実際の詳細について説明します。



さらに、必要に応じて詳細に調べることができるように、すべての写真をクリックできます。

パート1：ネイティブアメリカンジョー

そのため、需要は供給を生み出します。データを無線で送信するプロセスで暗号化を使用するシステムが徐々に市場に登場し始めました。 実際、これらのシステムは、鍵の所有者をワイヤレスで識別するプロセスを実行しました。 同時に、トランスポンダーに保存された秘密鍵はどのような形式でもブロードキャストされませんでしたが、イモビライザーから受信した要求の暗号化「署名」に使用されました。 これらのシステムの1つは、テキサスインスツルメンツのエンジニアによって開発されました。 彼らが開発したトランスポンダーは、 デジタル署名トランスポンダー （DSTと略されます）と呼ばれていました。



DSTトランスポンダーは非常に小型であることが判明したため、自動車のイグニッションキーやキーチェーンなど、問題なくさまざまなコンパクトトークンに統合できました。 上の写真では、ブレードの近くのハンドルに、トランスポンダーがキーの内側に配置されているプラ​​グで閉じられた穴があります。 そして、その設計でハッシュスキームを使用すると、無線スニッフィングプロセスが完全に役に立たなくなりました（しばらくの間-しかし、後でさらに）。 。



トランスポンダーは、次の主要コンポーネントで構成されています。

• アンテナおよびトランシーバー（以降、トランシーバーと呼びます）：トランスポンダーに電力を供給し、無線チャネルを介して基地局と通信するように設計されています。
• 暗号化スキーム：基地局から受信したリクエストをハッシュするように設計されています。
• 不揮発性の書き換え可能なメモリ：暗号化キーといくつかの追加パラメーター（トランスポンダーのシリアル番号やメーカーIDなど）を保存するように設計されています。

トランスポンダーは、プログラマーに直接接続することなく、無線でプログラムされます。 ほとんどすべての情報を上書きできますが、書き込み保護ビットが設定されていない場合のみです。 記録されたトランスポンダーは、追加のデバイスを使用せずにベースステーションに簡単にリンクできます（前提条件は、トランスポンダーとベースステーションのメーカーIDの一致です）。



ワイヤレス認証システム全体のアルゴリズムは次のとおりです。

• 基地局は、基地局トランシーバーのカバレッジエリアにあるトランスポンダーの電子回路全体に電力を供給するのに十分な電力と期間の無変調無線信号を送信します。
• 基地局は、乱数発生器を使用して、40ビットの要求を生成し、それを保存し、無線信号の振幅変調を使用してブロードキャストします。
• トランシーバーはしばらくの間、変調されていない無線信号を発信します。そのため、トランスポンダーは計算操作を実行するのに十分な電力を持っています。
• 基地局から要求を受信すると、トランスポンダは、不揮発性メモリに保存されている40ビット暗号化キーを使用してDST40アルゴリズムに従ってハッシュを実行します。結果はいわゆる「署名」です。
• トランスポンダーは、デジタル署名とサービス情報を基地局に送信します。
• 基地局は、格納されているのと同じ暗号化キーを使用してトランスポンダーに送信された要求をハッシュします。結果がトランスポンダーから受信した結果と一致する場合、認証は成功したと見なされます。 このベースステーションが車のイモビライザーとして使用されている場合、認証に成功すると、エンジンを起動する許可を車の中央コンピューターに送信します。

開発エンジニアの考慮事項が何に基づいているのかは明確ではありませんが、事実は残っています：ハッシュプロセスで使用される暗号化キーの長さはわずか40ビットです（これが、アルゴリズムがDST40と呼ばれた理由です）。 最新の観点から見ると、このような暗号化キーの長さは、少なくともある程度のセキュリティを確保するには完全に不十分です。 しかし、当時、開発エンジニアはそうは思わなかったようです。 さらに、DST40アルゴリズムは完全に独自仕様であり、最も厳格な非開示サブスクリプションの下でのみメーカーに開示されます。



長い間、アルゴリズムは途切れなかったため、将来、トランスポンダーの安全性に対するメーカーの信頼はさらに高まりました。



その結果、DST40トランスポンダーは非常に人気があります。 それらは、多くの大手自動車会社（たとえば、トヨタ、フォード、リンカーン、日産など）に採用されました。 イモビライザーがDST40トランスポンダーを使用する何百万台もの車が、米国市場だけでなく、米国から車を積極的に輸入している他の国の市場にも徐々に殺到しました。 さらに、これらのトランスポンダーは、 米国のさまざまなファーストフード、スーパーマーケット、レストラン、ガソリンスタンドを急速に獲得しているSpeedPass非接触型決済システムでも使用され始めました。

パート2：そして雷が襲いました！

誰もが、インドのジョーが誰も彼を必要としない瞬間までとらえどころのないままであることを長い間知っていました。 したがって、このストーリーでは、DST40アルゴリズムは、若くて元気な人たちがそれを取り上げるまで途切れることはありませんでした。



2004年に起こりました。 その時までに、DST40アルゴリズムの堅牢性に対するテキサスインスツルメンツのエンジニアの自信は非常に大きくなり、彼らは単に誇りと、少なくともその成果を誰とでも共有したいという思いで破裂していました。 そして、彼らは会社のドイツ部門の従業員の一人であるウルリッヒ・カイザー博士を第4回AES会議に派遣し、DST40に関する小さな概要報告書を送ることにしました。 このレポートは、インディアンジョーの終わりの始まりでした。



実際、この会議には暗号化の専門家、ジョンズホプキンス大学情報セキュリティ大学（米国）の教授であるAviel D. Rubin教授が出席しました。 アルゴリズムの一般的なスキームを一目見ただけで、深刻なセキュリティホールを見つけることができました。 これはこの図がどのように見えるかです：





スキームは非常に一般的であり、多くの微妙な詳細が欠けていたという事実にもかかわらず、経験豊富な暗号作成者の訓練された目はすぐにいくつかの脆弱性に気づきました：まず、暗号化キーとリクエスト/レスポンスレジスタが各クロックサイクルで最小限の修正を受けたことほんの少しで。 第二に、ゼロのみで構成される「弱い」暗号化キーがあることは明らかでした-ハッシュ処理中、最後までゼロのままになります。 これにより、トランスポンダーの内部構造を明らかにできるさまざまな暗号解析実験を行う可能性が開かれました。 そして第三に、キーの長さはわずか40ビットであり、2004年の規格では、ハードウェアを使用して実行されるブルートフォースに耐えるには完全に不十分でした。



もちろん、Evieは、そのようなデバイスの生産において重要なセグメントを占める大企業は、単に言葉だけではアルゴリズムの弱点と脆弱性を確信できないことを理解していました。 その後、彼はDST40をハッキングして実践するというアイデアを思い付きました。これが最も説得力のある議論です。 まず、彼は数人の大学生のチームを編成することにしました。 彼は、このビジネスを行うことを提案した最も精力的で有能な人を選択しました：アルゴリズムを掘り下げると同時に、暗号化と暗号解読の理論的知識と実践的スキルを強化します。 そのため、チームが誕生しました（上写真の左から右へ） Adam Stubblefield 、 Aviel D. Rubin 、Stephen C. Bono、Matthew Green 。



次のステップは、TIシリーズ2000開発キット-Texas InstrumentsのLF RFIDの買収でした。 このセットには、トランスポンダーおよびいくつかのトランスポンダーと通信するためのトランシーバーが含まれていましたが、DST40アルゴリズムを使用して暗号化を実行しなかったため、これらはまったく役に立ちませんでした。 そのため、連中はトランスポンダーを個別に入手する必要がありました。



ちなみに、この開発キットには、DST40アルゴリズムを使用した暗号化を可能にするソフトウェアも含まれていました。 しかし、彼らは後にUSENIXシンポジウムに出席する全員を保証することを誓ったため、ライセンス契約で禁止されているため、プロプライエタリアルゴリズムの柔らかいピンク色のボディに到達するためにプログラムコードを分解およびデバッグしませんでした。



代わりに、彼らはハッキングに「予測」または「ブラックボックス」方式を使用することにしました。 簡単に言えば、彼らはさまざまな実験を行い、異なる暗号化キーをトランスポンダーに書き込み、異なる要求を送信し、それらから得られたハッシュ結果を調査し始めました。



Kaiserスキームから、暗号化スキームの基礎は、固定真理値表を持つ論理要素上の他の暗号化アルゴリズムで広く使用されているFeistelネットワークであることがわかりました。 アルゴリズムを完全に解読するには、3つの問題を解決する必要がありました。

• カイザースキームが正しいかどうかを確認します。
• キーレジスタの各ビットからの信号の配線と論理要素への要求を決定します。
• すべての論理要素の真理値表を計算します。

実施されている実験の詳細には触れません。2005年にボルチモアで開催された第14回USENIXセキュリティシンポジウムで一般公開されたこのドキュメントで 、興味のある人は誰でもこのドキュメントを見ることができます。



その結果、3人が問題をすべて解決し、DST40暗号化モジュールに含まれる機能ブロックの完全な接続図（これらのブロックの真理値表を含む）を復元できたと言えます。 さらに、実際の機能スキームは、カイザースキームと完全に一致していないことが判明したことに注意してください。 いくつかの違いがありました。

• ハッシュの開始後、400ではなく200クロックパルスがスキームに供給されます。
• 各メジャーの要求レジスターは、1ビットではなく、2ビットずつシフトされます。
• Kaiserスキーム「F21」に示されている論理要素には、1つではなく、2つの出力があります。これは、要求レジスタの左端（スキームによる）2ビットに入る前に、同じレジスタの右2ビットとXORです。
• 暗号化キーの次の左の（スキームに応じた）ビットを計算するために、スキームに表示されている間違ったビットが使用されます。

また、暗号化キーを変更するためのアルゴリズムを見つけることができました。キーは、2番目から3番目の測定ごとに変更されます。



それだけでなく、結果のハッシュはトランスポンダーによってエーテルに送信されないことが判明しました。40ビットすべてではなく、そのうちの24ビットだけです。 この結果、暗号化キーのすべての可能な組み合わせをさらに列挙する際に、多数の誤った結果が表示されます。 ただし、これはそれほど大きな問題にはなりませんでした。次のキーを再度確認するのに十分でしたが、異なるリクエスト/レスポンスのペアを使用しました。 2番目のチェックでも一致した場合、キーは見つかったと見なされます。



さらに、FPGA XILINXを搭載したボードをベースにしたハードウェアキーブルートフォーサーを開発しましたが、コストは200ドル弱でした。 このFPGAのチップには、100 MHzの周波数で同期動作する32個のハッシュコアを配置することができました。 各コアは、暗号化キーのサブ範囲を整理しました。 理想的には、このようなボードの1つで約19時間の操作でキーの全範囲を整理する必要があります： （2 ⁴⁰ x200）/（100x10 ⁶ x32x3600）= 19.09時間。 しかし実際には、時間の一部はオーバーヘッドに費やされました-コンピューターからのコマンドの取得。 したがって、完全な検索には約21時間かかりました。 検索プロセスを高速化するために、同じボードをさらに15個購入しました。 それらのそれぞれで、32個の同じコアをプログラムし、1つのネットワーク内でボードを互いに組み合わせた結果、512個の並列コアのクラスターを受け取りました。 この場合、各コアは最大2 40/512 = 2 ³¹フルハッシュサイクルを完了する必要がありました。 このクラスターは、1時間半でタスクを完了しました。



最初の実験ウサギは、まさにそのようなトランスポンダーを備えた2005年のFord Escape SUV車の点火キーでした。 開発者のキットを使用して、2つのランダムな要求がキーに送信され、2つの対応する応答が受信されました。 これらの2組の要求/応答は、検索を開始する前にブルートフォース強制に送信されるソースデータになりました。 検索の開始から1時間以内に、秘密鍵が正常に見つかりました。



次のステップは、このトランスポンダーのシミュレーターの製造でした。このシミュレーターを使用して、この車を始動できました。 トランシーバーボードがインストールされ、このボードに外部ア​​ンテナが接続された、コンパクトなパーソナルコンピューターがベースになりました。 すべての鉄の自律的な電源供給を確保するために、UPSに追加のバッテリーユニットを接続して使用しました。 コンピューターでプログラムが起動され、イモビライザーからの要求を待っている間にトランシーバーを介してリッスンしました。 そのようなリクエストを受信すると、プログラムはそれをハッシュし、結果を空中に送り返しました。 車のエンジンを始動するために、トランスポンダーを含まないイグニッションキーの機械的なコピーが使用されました。



以下のビデオでは、AdamとMatthewがシミュレータを使用してエンジンを起動するプロセスを示しています。







次に、このシミュレータを使用して、SpeedPass支払いシステムを備えたガソリンスタンドでガソリンを購入しました。







これらすべての実験が正常に完了した後、受け取った情報を公開することが決定されました。 当時、EvieはUSENIX協会の理事会のメンバーでした。したがって、次のUSENIXセキュリティシンポジウムでのこの情報の公開は論理的な決定になりました。



しかし、支払いシステムの急速な崩壊を防ぎ、泥棒にイモビライザーに簡単に侵入するためのツールを提供しないために、彼らはすべての情報を公開しませんでした。 たとえば、最終的なハッシュ関数図は公開されていません。 彼らが彼らの言葉の信of性の確認として提供した唯一のものは、キーハッシュアルゴリズムとFeistelネットワークを構成する機能要素の真理値表を記述する公式です。 これは、テキサスインスツルメンツのエンジニアがDST40アルゴリズムの完全な失敗を実現するのに十分なものでした。

パート3：しかし、それから利益を得ることができますか？

2009年でした。 強さを増している危機の波は、大声で地球に沿って転がっていました。 スティーブとジョンという2人の人々は、相対的に収入を稼ぐための選択肢を積極的に探していました。 DST40トランスポンダーをハッキングすることについてのセンセーショナルな物語は、彼らにこれで少しお金を稼ぐことができると考えるように促しました。 アイデアは、同様のイモビライザーを装備した車の所有者にリモートエンジンスタートシステムのインストールを提供することでした。 当時、同様のシステムがすでに存在していましたが、それらのすべてが1台の車のキーを犠牲にする必要がありました。それはリモートスタートデバイスのすぐ近くのキャビンに配置する必要がありました。 これにより、イモビライザーの使用が一切意味を失い、車の所有者が車に別のアラームを取り付けることを余儀なくされたことは明らかです。 この場合、車の所有者はこれらの欠点のないシステムを提供されました。イグニッションキー自体をシミュレートすると想定され、エンジンを遠隔始動するコマンドが受信されたときにのみこれを行います。



スティーブとジョンは仕事に取りかかり、USENIXシンポジウムで公開されたドキュメントを研究し、ハッシュメカニズムを見つけました。 彼らの努力の結果、そのようなスキームは、上記の文書の14ページに公開された公式に完全に準拠するようになりました：





次に、2つのデザインを作成しました。



それらの最初はDST40トランスポンダープログラマーでした。 車のイモビライザーのように、トランスポンダーからオープン情報を読み取り、トランスポンダーにリクエストを送信し、ハッシュ結果を受信できます。また、暗号化キーとともにトランスポンダーにオープン情報を書き込むこともできました。 プログラマーを使用して、2005トヨタカムリからイグニッションキーの2つの要求/応答ペアを受け取りました。



2番目の設計は、Xilinx Spartan 3E FPGAチップに基づいて構築されたブルートフォースエンジンでした。 ブルートフォーサーは、ブルートフォースメソッドがトランスポンダーに保存された暗号化キーを見つけることを可能にしました。 これを行うために、ブルートフォースの入力には、要求/応答と暗号化キーの2つの組み合わせの形式で初期データが提供され、そこから検索を開始する必要がありました。 ブルートフォースは135メガヘルツの周波数で動作し、FPGAチップ上に32個のハッシュコアを含み、約14時間ですべての組み合わせの完全な列挙を実行しました。



結果は、率直に言って、勇気づけられるものではありませんでした。強引な労働者が仕事をしたときに数時間待つのは、とても楽しい経験ではありませんでした。 そのため、スティーブとジョンは、トヨタの中央コンピューターとイモビライザーユニットの間のデータ転送の別の領域に目を向けました。 小規模な検査といくつかのテストを実施した後、このサイトは送信データのマスキングはある程度ありますが、非常に原始的であるため、把握してデバイスをこの領域の隙間に導入することは難しくありませんでした。 デバイスがスタンバイモードで動作している間、コンピューターからイモビライザーにデータを送信し、それ自体でデータを送り返しました。 リモートエンジンプラントへのコマンドを受信すると、イモビライザーをオフにし、イモビライザーからの肯定的な応答をシミュレートして、コンピューターとの通信を開始しました。 そして、このプロセス全体で最も重要なことは、イモビライザーの応答がコンピューターの要求のみに依存することでした。 イグニッションキーは必要ありませんでした。



プログラマーおよびブルートフォースフォワーダーは、請求されませんでした。

パート4：純粋にスポーツの興味

上記のイベントからさらに数年が経ち、ある日、 DE0-Nano-SoCボードが私の手に落ちました。 彼女の心臓部はアルテラCyclone V SE 5CSEMA4U23C6Nチップです。 これには、デュアルコアHPSプロセッサ（ハードプロセッサシステム）ARM Cortex-A9および15094アダプティブロジックモジュール（ALM）を備えたFPGAが含まれています。 ボードに含まれているメーカーは、microSDメモリカードに展開されるLinuxを提供しています。 これにより、多くの時間を費やすことなく、ユーザーインターフェイスを簡単に実装できます。 このデバイスを習得した後、DST40トランスポンダーをハッキングしたという話を思い出しました。純粋にスポーツに興味がありました-そのようなデバイスを使用して、DST40キーのブルートフォースで1秒あたりいくつのハッシュを圧縮できますか？



スティーブとジョンが描いたスキームと、トヨタキーから受け取った2組のリクエスト/レスポンスを手元に置いて、仕事に取りかかりました。 最初は、ハッシュコアの数を大幅に増やす簡単な方法が選択されました。このコアの128個がこのボードのFPGAクリスタルに収まります。





この図には、次のコンポーネントが表示されます。

• HPSプロセッサ-dst40プログラムを実行します。 ユーザーに初期データを要求し、それらをコントロールユニットのレジスターにロードし、検索プロセスを開始/停止し、現在の状態に関する情報を画面に表示します。
  
  
• コントロールユニット。 そのタスクは、すべてのハッシュカーネルのソースデータを準備し、それらの作業を管理し、結果を検証してHPSに転送することです。
  
  
• カーネルのハッシュ。 各コアは、2つの部分の初期キーを生成します：コアのシリアル番号に一致する7ビットの固定上位部分（コア番号0の場合は00H、コア番号127の場合は7FH）と、コントロールユニットから取得した33ビットの下位変数。 カーネルは、DST40アルゴリズムを使用して要求のハッシュを実行します;このプロセスの最後に、ハッシュ結果が応答と比較され、比較結果が制御ユニットに送信されます。
  
  

デバイス全体の動作の近似アルゴリズムは次のとおりです。

1. プログラムはユーザーに初期データを要求します。トランスポンダーに送信される2つの要求とトランスポンダーから受信される2つの対応する応答、および検索を開始する暗号化キー。
2. プログラムは最初の要求/応答とキーをコントロールユニットにロードし、検索プロセスを開始します。 その後、制御ユニットが一致の検出または検索中のキーの枯渇を通知するのを待ちます。
3. 制御ユニットは、すべてのコアのソースデータの入力に要求/応答およびキーを設定し、それらにハッシュを開始するコマンドを与えます。
4. 各コアはリクエストをハッシュします。 これには200クロックサイクルかかります。 作業の最後に、各コアはハッシュ結果と応答を比較し、比較結果を制御ユニットに送信します。
5. コントロールユニットは、すべてのコアの結果を評価します。一致するものが見つからない場合、キーをインクリメントし、アルゴリズムのステップ3に進みます。
6. - , , .
7. / .
8. 3 5 . — .
9. — , . . , .

デザインのハードウェアは、200メガヘルツのクロック周波数で獲得しています。結果として、検索速度は、128x200x10た⁶秒/ 200 =1.28億ハッシュ。デバイスは、2時間24分ですべてのオプションの完全な列挙を実行しました。もちろん、これは非常に良い結果でしたが、それでもそれほど良くはありませんでした。



次に、検索プロセスを高速化するためのいくつかの手順を説明します。だから...

最初のステップ

アルゴリズムを最適化することから始めましょう。上記のハッシュスキームをもう一度見てください。ハッシュ結果がリクエスト/レスポンスレジスタの下位24ビットから読み取られることがわかります。上位16ビットは使用されません。論理的な疑問が生じます。結果が破棄される場合、最後の8つの測定を実行するのはなぜですか？回答：まったく必要ありません。192クロックサイクルを回路に適用し、レジスタの上位24ビットからハッシュ結果を取得するだけで十分です。それでは、それをやってみましょう。これにより、速度が完全に無料で4％向上します。

第二段階

ドキュメントの最後にある論理要素の真理値表を見てみましょう。





行がペアで複製されていることは簡単にわかります。 これは、最下位の入力ビットが結果に影響せず、損傷なしで破棄できることを意味します。 すぐに言ってやった。





これにより、速度が明らかに向上することはありません。 ただし、ご存じのとおり、同期回路の組み合わせロジックの数を減らすと、クロック周波数を上げる可能性にプラスの効果があります。



その結果、上記の変更を考慮したカーネルスキームが誕生しました（また、カウントがゼロから始まるようにレジスタのビットの番号が付け直されます-これがより一般的です）。

第三段階

プログラムのループ部分から最大速度を取得しようとするプログラマーは、「ループ展開」などの最適化方法を使用します。 これは、ループカウンターがN回減少し、このサイクルで実行される一連のコマンドが次々とN回繰り返されるという事実にあります。 これにより、サイクルカウンターメンテナンスチームによって導入される冗長性が削減されます。



試してみて、この方法を使用します。192サイクルサイクル全体を1本の実線に拡張します。 各サイクルの作業は前のサイクルの結果にのみ依存し、他には何も依存しないため、このオプションの実装は非常に可能です。





このスキームでは、「CYCLE N」という名前の各ロジックブロックには、DST40アルゴリズムで使用されるFeistelネットワーク全体が含まれます。 論理回路の長さが異常に長くなり、クロック速度を大幅に低下させる必要があることは明らかです。 ただし、このようなスキームでは、元々の192番目のメジャーごとではなく、各メジャーごとに結果が生成されます。試してみる価値があります。



そのようなスキームを実装してテストします。予想どおり、クロック周波数を2メガヘルツに下げる必要があり、8コアがほとんど水晶に収まらないほど多くのロジックがありました。 毎秒1600万のハッシュ-これは完全に軽薄です！



このアイデアを埋め立て地に捨てますか？ まさか！ スリーブから引き抜くことができる別の切り札があります。 コンベアと呼ばれます。 読者の多くはパイプラインについて知っていると思います。 不明な場合は、Ivan Shevchuk（ ishevchukとも呼ばれる）のすばらしい記事で「 FPGAのパイプラインに関するいくつかの言葉 」でそれらについて読むことをお勧めします。



そのため、論理チェーンを192個のリンクにカットし、そのジョイントで2つの40ビットレジスタを配置します。





コンパイルします。 この設計は、128コアの元の設計と同じ周波数-200メガヘルツで動作しました。 しかし、新しいソースデータが各メジャーの入力になりました。 また、結果は各クロックサイクル（クロックサイクル192から開始）の回路の出力から削除されます。 加速は192倍でした！ やったー しかし、すべてが私たちが望むほどバラ色ではありません。 コアスキームは非常に膨潤しているため、1つのコアのみが結晶に適合します。 結果の列挙率は、1秒あたり2億ハッシュでした。



絶望しないでください-妥協点を探しましょう。 結果の図をもう一度よく見てみましょう。 192リンクのチェーン全体が3リンクの64個の同一ブロックで構成されていることが印象的です：ブロックの最初のリンクでは、キーレジスタは変更されず、2番目では-1ビットシフトされ、3番目では再び変更されません。 スキームを変更してみましょう。これらのブロックを3つの部分に分割するレジスタを削除します。 したがって、チェーンリンクの数は64に削減され、各リンクの論理チェーンの長さは3倍になります。 これにより、クロック周波数を下げる必要が生じますが、同時に、コアのサイズを大幅に削減する必要があります。





そのようなスキームを実装し、その結果、結晶上に4つのそのような核を配置する機会を得ます。 TimeQuestアナライザーでは、この回路を125メガヘルツで実行できました。 しかし、4つのコアがあり、スキームがサイクルごとに4つの結果を提供するため（64番目から開始）、合計列挙速度は4x125x10 ⁶ = 5億ハッシュ/秒でした。 すでにかなり良いです！

第4ステップ

さて、最後の仕上げはオーバークロックです！ 彼なしではどこにいるのでしょうか？ 前のステップで得られた125メガヘルツは、TimeQuestアナライザーが誓わない周波数です。 しかし、Cyclone Vチップの速度にはかなりの「安全マージン」があります。 これを利用して、回路が間違え始めるまで回路のクロック周波数を上げます-ソースデータの正しい組み合わせで耳をすり抜けます。 回路の正しい動作を評価するために、HPSプロセッサのプログラムはテストプログラムに置き換えられました：各サイクルで、ランダムキー/リクエストペアを生成し、答えを計算し、これらすべてをパイプラインにロードして、回路を起動しました。 64クロックサイクル後、回路が一致検出の成功を報告しなかった場合、テストは不合格と見なされ、回路の周波数を下げる必要がありました。 このようにして、回路が動作し続ける限界周波数である170メガヘルツが見つかりました。 175メガヘルツで、回路が故障し始めました。 170メガヘルツでは、検索速度は4x170x10 ⁶ = 680ミリ秒のハッシュです。 デバイスは、27分以内にキーのすべての可能なオプションの徹底的な検索に対処しました。



以下は、このブルートフォースの実際の使用を示すビデオです。

パート5：最終

DE0-Nano-SoCベースのブルートフォーサーの全体的な効率は、Eviチームによって構築された512コアクラスターの効率を約90倍（設計は30倍安く、3倍高速であることが判明）-現在の段階では驚くことではありません。



誰かがソースを「掘り下げ」たい場合、 ここで行うことができます 。 binディレクトリには、FPGAにアップロードするためのコンパイルされたファームウェア（信頼性のためにクロック周波数は150 MHzに制限されています）と、Linuxの下でHPSで実行するためのコンパイルされたプログラムがあります。



それでは、休暇を取らせてください！ すべての健康と幸運を！ ご清聴ありがとうございました！