PBKDF2 - PBKDF2

В криптография, PBKDF1 и PBKDF2 (Функция получения ключа на основе пароля 2) находятся ключевые деривационные функции со скользящей вычислительной стоимостью, используемой для уменьшения уязвимостей к атаки методом перебора.

PBKDF2 является частью RSA Laboratories ' Стандарты криптографии с открытым ключом (PKCS), в частности PKCS # 5 v2.0, также опубликованная как Инженерная группа Интернета с RFC 2898. Он заменяет PBKDF1, который мог создавать только производные ключи длиной до 160 бит.[1] RFC 8018 (PKCS # 5 v2.1), опубликованный в 2017 году, рекомендует PBKDF2 для хеширования паролей.[2]

Назначение и работа

PBKDF2 применяет псевдослучайная функция, Такие как код аутентификации сообщения на основе хэша (HMAC), на вход пароль или же кодовая фраза вместе с соль значение и повторяет процесс много раз, чтобы получить производный ключ, который затем можно использовать как криптографический ключ в последующих операциях. Дополнительная вычислительная работа делает взлом пароля намного сложнее и известен как растяжение ключа.

Когда стандарт был написан в 2000 году, рекомендуемое минимальное количество итераций составляло 1000, но этот параметр предполагается увеличивать со временем по мере увеличения скорости процессора. Стандарт Kerberos в 2005 году рекомендовал 4096 итераций;[3] Сообщается, что Apple использовала 2000 для iOS 3, и 10000 для iOS 4;[4] в то время как LastPass в 2011 году использовал 5000 итераций для клиентов JavaScript и 100000 итерации для хеширования на стороне сервера.[5]

Алгоритмическое представление итеративного процесса функции вывода ключа на основе пароля 2.

Добавление соли к паролю снижает возможность использования предварительно вычисленных хешей (радужные столы ) на предмет атак, и означает, что нужно проверять несколько паролей по отдельности, а не все сразу. Стандарт рекомендует длину соли не менее 64 бит.[6] Национальный институт стандартов и технологий США рекомендует 128 бит.[7]

Процесс вывода ключей

Функция создания ключа PBKDF2 имеет пять входных параметров:[8]

DK = PBKDF2 (PRF, пароль, соль, c, dkLen)

куда:

  • PRF - псевдослучайная функция двух параметров с выходной длиной hLen (например, HMAC с ключом)
  • Пароль это мастер-пароль, на основе которого создается производный ключ
  • Соль представляет собой последовательность битов, известную как криптографическая соль
  • c желаемое количество итераций
  • dkLen желаемая длина в битах производного ключа
  • DK это сгенерированный производный ключ

Каждый hLen-битовый блок Tя производного ключа DK, вычисляется следующим образом (с + конкатенация строки маркировки):

DK = T1 + Т2 + ... + Тдклен / хленТя = F (Пароль; Соль; c; i)

Функция F это xor (^) из c итерации связанных PRF. Первая итерация PRF использует Пароль как ключ PRF и Соль в сочетании с я закодировано как входное 32-битное целое число с прямым порядком байтов. (Обратите внимание, что я является индексом, отсчитываемым от 1.) Последующие итерации PRF используют Пароль в качестве ключа PRF и результат предыдущего вычисления PRF в качестве входа:

F (Пароль, Соль, c, i) = U1 ^ U2 ^ ... ^ Uc

куда:

U1 = PRF (Пароль; Salt + INT_32_BE (i)) U2 = PRF (Пароль; U1) ... Uc = PRF (Пароль; Uс-1)

Например, WPA2 использует:

 DK = PBKDF2 (HMAC-SHA1, кодовая фраза, ssid, 4096, 256)

У PBKDF1 был более простой процесс: начальный U (называется Т в этой версии) создан PRF (Пароль + соль), а следующие просто PRF (Uпредыдущий). Ключ извлекается как первый dkLen биты окончательного хеша, поэтому существует ограничение на размер.[8]

HMAC коллизии

PBKDF2 имеет интересное свойство при использовании HMAC в качестве псевдослучайной функции. Можно легко создать любое количество различных пар паролей с конфликтами внутри каждой пары.[9] Если предоставленный пароль длиннее, чем размер блока базовой хэш-функции HMAC, пароль сначала предварительно хешируется в дайджест, и этот дайджест вместо этого используется в качестве пароля. Например, следующий пароль слишком длинный:

  • Пароль: plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd

поэтому (например, при использовании HMAC-SHA1) он предварительно хешируется с использованием SHA-1 в:

  • SHA1 (шестнадцатеричный): 65426b585154667542717027635463617226672a

Что может быть представлено в ASCII как:

  • SHA1 (ASCII): eBkXQTfuBqp'cTcar & g *

Это означает, что независимо от соли или итераций PBKDF2-HMAC-SHA1 будет генерировать одни и те же ключевые байты для паролей:

  • "plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd"
  • "eBkXQTfuBqp'cTcar & g *"

Например, используя:

  • PRF: HMAC-SHA1
  • Соль: A009C1A485912C6AE630D3E744240B04
  • Итерации: 1,000
  • Полученная длина ключа: 16 байт

следующие два вызова функций:

PBKDF2-HMAC-SHA1 ("plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd", ...) PBKDF2-HMAC-SHA1 ("eBkXQcTfuBqp * 

будет генерировать те же производные ключевые байты (17EB4014C8C461C300E9B61518B9A18B). Эти производные конфликты ключей не представляют собой уязвимости в системе безопасности, поскольку для генерации пароля необходимо знать исходный пароль. хэш пароля.[10]

Альтернативы PBKDF2

Одной из слабых сторон PBKDF2 является то, что, хотя его количество итераций можно настроить так, чтобы оно занимало сколь угодно большое количество вычислительного времени, оно может быть реализовано с помощью небольшой схемы и очень небольшого объема оперативной памяти, что делает атаки методом перебора с использованием специализированные интегральные схемы или же графические процессоры относительно дешево.[11] В bcrypt функция хеширования паролей требует большего объема ОЗУ (но все еще не настраивается отдельно, т. е. фиксируется для заданного количества процессорного времени) и немного сильнее противостоит таким атакам,[12] в то время как более современный зашифровать функция вывода ключей может использовать произвольно большие объемы памяти и, следовательно, более устойчива к атакам ASIC и GPU.[11]

В 2013 г. Конкурс по хешированию паролей (PHC) была проведена для разработки более стойкого подхода. 20 июля 2015 г. Аргон2 был выбран в качестве окончательного победителя PHC с особым признанием четырех других схем хеширования паролей: Catena, Lyra2, yescrypt и Makwa.[13]

Смотрите также

Рекомендации

  1. ^ , Берт Калиски. «PKCS # 5: Спецификация криптографии на основе пароля, версия 2.0». tools.ietf.org. Получено 2015-10-23.
  2. ^ «PKCS # 5: Спецификация криптографии на основе пароля, версия 2.1». tools.ietf.org.
  3. ^ Кеннет Реберн. «Шифрование Advanced Encryption Standard (AES) для Kerberos 5». tools.ietf.org. Получено 2015-10-23.
  4. ^ "Криминалистика смартфонов: взлом паролей резервных копий BlackBerry". Расширенный взлом паролей - Insight (ElcomSoft). Получено 2015-10-23.
  5. ^ «Уведомление о безопасности LastPass». Блог LastPass. Получено 2015-10-23.
  6. ^ К. Мориарти; и другие. «RFC 8018 - PKCS # 5: Спецификация криптографии на основе пароля, версия 2.1». tools.ietf.org. Получено 2018-01-24.
  7. ^ Мельтем Сёнмез Туран, Элейн Баркер, Уильям Берр и Лили Чен. "NIST SP 800-132, Рекомендации по получению ключей на основе пароля, часть 1: Приложения для хранения" (PDF). www.nist.gov. Получено 2018-12-20.CS1 maint: несколько имен: список авторов (связь)
  8. ^ а б RFC  2898
  9. ^ https://mathiasbynens.be/notes/pbkdf2-hmac
  10. ^ https://crypto.stackexchange.com/questions/26510/why-is-hmac-sha1-still-considered-secure
  11. ^ а б Колин Персиваль.зашифровать.Как представлено в«Более надежный вывод ключей с помощью последовательных функций с жесткой памятью» Представлено на BSDCan'09, май 2009 г.
  12. ^ «Новые 25 GPU Monster пожирают пароли за секунды». Журнал безопасности. 2012-12-04. Получено 2013-09-07.
  13. ^ «Конкурс по хешированию паролей»

внешняя ссылка