PBKDF2

PBKDF2

Utvecklare	RSA-säkerhet [d]

PBKDF2 (härlett från den engelska lösenordsbaserade nyckelhärledningsfunktionen ) är en lösenordsbaserad nyckelgenereringsstandard . Det är en del av PKCS #5 v2.0 ( RFC 2898 ). Ersatte PBKDF1, som begränsade längden på den genererade nyckeln till 160 bitar.

PBKDF2 använder en pseudo-slumpmässig funktion för att generera nycklar. Längden på den genererade nyckeln är inte begränsad (även om nyckelutrymmets effektiva kardinalitet kan begränsas av egenskaperna hos den tillämpade pseudo-slumpmässiga funktionen). Användning av PBKDF2 rekommenderas för nya program och produkter. En kryptografisk hashfunktion , chiffer, HMAC kan väljas som pseudo-slumpmässig .

I Ryska federationen regleras användningen av PBKDF2-funktionen av standardiseringsrekommendationer R 50.1.111-2016 "Lösenordsskydd för nyckelinformation" [1] , medan det rekommenderas att använda HMAC- insättningsgenereringsfunktionen baserad på Stribog keyless hashing fungera som en pseudo-slumpmässig funktion ( GOST R 34.11 ).

Algoritm

Allmän bild av PBKDF2-anropet:

DK=PBKDF2(PRF,P,S,c,dkLen)

Algoritmalternativ:

PRF - pseudo-slumpmässig funktion, med utgångslängd hLen
P - huvudlösenord
S - salt (salt)
c — antal iterationer, positivt heltal
dkLen - önskad nyckellängd (högst ( -1) * hLen $2^{32}$ )
Utdataparameter: DK - genererad nyckel med längden dkLen

Beräkningsförlopp:

1. l - antalet block med längd hLen i nyckeln (avrundning uppåt), r - antalet byte i det sista blocket:

l=\lceil (dkLen/hLen)\rceil

r=dkLen-(l-1)*hLen

2. För varje block, tillämpa funktion F med parametrarna P , S , c och blocknummer:

T_{1}=F(P,S,c,1)

T_{2}=F(P,S,c,2)

...

T_{l}=F(P,S,c,l)

F definieras som en XOR ( )-operation på de första c iterationerna av PRF som appliceras på P och föreningen av S och blocknumret, skrivet som ett 4-byte big-endian heltal . $\ plus$

F(P,S,c,i)=U_{1}\oplus U_{2}\oplus ...\oplus U_{c}

U_{1}=PRF(P,S||INT(i))

U_{2}=PRF(P,U_{1})

...

U_{c}=PRF(P,U_{{c-1}})

3. Att kombinera de mottagna blocken är nyckeln DK . r bytes tas från det sista blocket.

DK=T_{1}||T_{2}||...||T_{l}<0..r-1>

Arbetshastighet

Ett av målen med att skapa PBKDF2 var att göra det svårare att bruteforce-lösenord. På grund av de många inblandade PRF-beräkningarna är nyckelgenereringshastigheten låg. Till exempel för WPA-PSK med parametrar [2] .

DK=PBKDF2(HMAC-SHA1,lösenfras,ssid,4096,256)

70 nycklar per sekund uppnåddes för Intel Core2 och cirka 1 tusen för Virtex-4 FX60 FPGA [3] . Som jämförelse kan nämnas att de klassiska LANMAN-lösenordshashningsfunktionerna har en brute force rate på omkring hundratals miljoner val per sekund [4] .

Användning

Algoritmer

Används som det första och sista steget i den adaptiva kryptografiska funktionen för att härleda en nyckel från en lösenordskryptering . Den här funktionen har utformats speciellt för applikationer där PBKDF2-beräkningen är för snabb.

System

Wi-Fi Protected Access (WPA och WPA2)
Microsoft Windows Data Protection API (DPAPI) [5]
Kryptering i OpenDocument Format ( OpenOffice.org )
AES-krypteringsschema i WinZip [6] [7]
LastPass för lösenordshasning [8]
1Lösenord för hashning av lösenord
Roboform för hashing av lösenord
Apple iOS mobiloperativsystem, för att skydda användarens åtkomstkoder och lösenord

Diskkryptering

FileVault ( macOS ) [9]
FreeOTFE (Windows och PDA)
LUKS - Linux Unified Key Setup (Linux)
TrueCrypt (Windows, Linux, macOS)
VeraCrypt (Windows, Linux, macOS)
DiskCryptor (Windows)
Kryptografisk disk (NetBSD)
GEOM ELI-modul för FreeBSD OS
Softraid-kryptering från OpenBSD
EncFS (Linux) sedan v1.5.0

Anteckningar

↑ R 50.1.111-2016 Informationsteknik. Kryptografiskt skydd av information. Lösenordsskydd av nyckelinformation. . Rosstandart (2016). Hämtad 10 april 2018. Arkiverad från originalet 11 april 2018. (obestämd)
↑ WPA-nyckelberäkning: Från lösenfras till hex . Hämtad 4 mars 2012. Arkiverad från originalet 29 april 2015. (obestämd)
↑ OpenCiphers . Hämtad 5 maj 2011. Arkiverad från originalet 15 april 2018. (obestämd)
↑ OpenCiphers . Hämtad 5 maj 2011. Arkiverad från originalet 10 mars 2018. (obestämd)
↑ Windows Data Protection Arkiverad 16 april 2007.
↑ WinZip-AES-kodningstips för utvecklare . Hämtad 5 maj 2011. Arkiverad från originalet 4 april 2018. (obestämd)
↑ BRG Main Site
↑ LastPass-säkerhetsmeddelande . Hämtad 5 maj 2011. Arkiverad från originalet 19 maj 2012. (obestämd)
↑ nsa.org är registrerat hos pairNIC.com (nedlänk) . Hämtad 18 april 2013. Arkiverad från originalet 15 mars 2007. (obestämd)

Litteratur

RFC 2898 , sid. 9-11
NIST specialpublikation 800-132. Rekommendation för lösenordsbaserad nyckelhärledning. // NIST

Hash-funktioner
generell mening	Adler-32 CRC Fletcher kontrollsumma FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hashträd jenkins hash hash summa
Kryptografisk	Stribog GOST R 34,11-94 Bälte BLAKE bmw CubeHash EKO edonkey2k FSB Fuga Grostl HAVAL Hamsi J H Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Hud Snefru Tiger Bubbelpool
Nyckelgenereringsfunktioner	bcrypt PBKDF2 kryptera Argon 2 Lyra2
Kontrollnummer ( jämförelse )	Kontrollera summan Verhouffs algoritm Månen algoritm Jävla algoritm Streckkod bankkonton bankkort ÄR I SNILS OKPO TENN OKATO ISBN OGRN och OGRNIP VIN
Hashes	Jämförelse av checknummer Autentiseringsprotokoll Streckkodsjämförelse Kryptografi Magnet länk Merkle signatur ed2k URNA