PBKDF2

PBKDF2

Vývojáři	RSA Security [d]

PBKDF2 (odvozeno z anglické funkce pro odvození klíče na základě hesla) je standard pro generování klíčů založený na hesle . Je součástí PKCS #5 v2.0 ( RFC 2898 ). Nahrazen PBKDF1, který omezil délku generovaného klíče na 160 bitů.

PBKDF2 používá pro generování klíčů pseudonáhodnou funkci. Délka vygenerovaného klíče není omezena (ačkoli efektivní mohutnost klíčového prostoru může být omezena vlastnostmi použité pseudonáhodné funkce). Použití PBKDF2 se doporučuje pro nové programy a produkty. Kryptografickou hashovací funkci , šifru, HMAC lze vybrat jako pseudonáhodné .

V Ruské federaci je použití funkce PBKDF2 upraveno standardizačními doporučeními R 50.1.111-2016 „Ochrana klíčových informací heslem“ [1] , přičemž je doporučeno používat funkci generování vložení HMAC na základě bezklíčového hashování Stribog fungovat jako pseudonáhodná funkce ( GOST R 34.11 ).

Algoritmus

Celkový pohled na volání PBKDF2:

DK=PBKDF2(PRF,P,S,c,dkLen)

Možnosti algoritmu:

PRF - pseudonáhodná funkce, s výstupní délkou hLen
P - hlavní heslo
S - sůl (sůl)
c — počet iterací, kladné celé číslo
dkLen - požadovaná délka klíče (ne více než ( - 1) * hLen $2^{32}$ )
Výstupní parametr: DK - vygenerovaný klíč délky dkLen

Průběh výpočtu:

1. l - počet bloků délky hLen v klíči (zaokrouhlení nahoru), r - počet bajtů v posledním bloku:

l=\lceil (dkLen/hLen)\rceil

r=dkLen-(l-1)*hLen

2. Pro každý blok použijte funkci F s parametry P , S , c a číslem bloku:

T_{1}=F(P,S,c,1)

T_{2}=F(P,S,c,2)

...

T_{l}=F(P,S,c,l)

F je definována jako operace XOR ( ) na prvních citacích PRF aplikovaných na P a sjednocení S a čísla bloku, zapsané jako 4bajtové big-endian celé číslo . $\oplus$

F(P,S,c,i)=U_{1}\oplus U_{2}\oplus ...\oplus U_{c}

U_{1}=PRF(P,S||INT(i))

U_{2}=PRF(P,U_{1})

...

U_{c}=PRF(P,U_{{c-1}})

3. Kombinace přijatých bloků je klíčem DK . r bytů je převzato z posledního bloku.

DK=T_{1}||T_{2}||...||T_{l}<0..r-1>

Rychlost práce

Jedním z cílů při vytváření PBKDF2 bylo ztížit hrubou sílu hesel. Vzhledem k mnoha zapojeným PRF výpočtům je rychlost generování klíčů nízká. Například pro WPA-PSK s parametry [2] .

DK=PBKDF2(HMAC-SHA1,heslo,ssid,4096,256)

70 klíčů za sekundu bylo dosaženo pro Intel Core2 a asi 1 tisíc pro Virtex-4 FX60 FPGA [3] . Pro srovnání, klasické funkce hašování hesel LANMAN mají rychlost hrubé síly kolem stovek milionů voleb za sekundu [4] .

Použití

Algoritmy

Používá se jako první a poslední fáze v adaptivní kryptografické funkci odvození klíče z hesla scrypt . Tato funkce byla speciálně navržena pro aplikace, kde je výpočet PBKDF2 příliš rychlý.

Systémy

Wi-Fi chráněný přístup (WPA a WPA2)
Microsoft Windows Data Protection API (DPAPI) [5]
Šifrování ve formátu OpenDocument ( OpenOffice.org )
Schéma šifrování AES ve WinZip [6] [7]
LastPass pro hašování hesel [8]
1Heslo pro hashování hesla
Roboform pro hashování hesel
Mobilní operační systém Apple iOS pro ochranu uživatelských přístupových kódů a hesel

Šifrování disku

FileVault ( macOS ) [9]
FreeOTFE (Windows a PDA)
LUKS – Linux Unified Key Setup (Linux)
TrueCrypt (Windows, Linux, macOS)
VeraCrypt (Windows, Linux, macOS)
DiskCryptor (Windows)
Kryptografický disk (NetBSD)
Modul GEOM ELI pro OS FreeBSD
Softraid šifrování z OpenBSD
EncFS (Linux) od verze 1.5.0

Poznámky

↑ R 50.1.111-2016 Informační technologie. Kryptografická ochrana informací. Ochrana klíčových informací heslem. . Rosstandart (2016). Staženo 10. dubna 2018. Archivováno z originálu 11. dubna 2018. (neurčitý)
↑ Výpočet klíče WPA: Od přístupové fráze po hex . Získáno 4. března 2012. Archivováno z originálu dne 29. dubna 2015. (neurčitý)
↑ OpenCiphers . Získáno 5. 5. 2011. Archivováno z originálu 15. 4. 2018. (neurčitý)
↑ OpenCiphers . Získáno 5. 5. 2011. Archivováno z originálu 10. 3. 2018. (neurčitý)
↑ Ochrana dat systému Windows Archivováno 16. dubna 2007.
↑ WinZip - AES kódovací tipy pro vývojáře . Získáno 5. 5. 2011. Archivováno z originálu 4. 4. 2018. (neurčitý)
↑ Hlavní stránka BRG
↑ Bezpečnostní upozornění LastPass . Získáno 5. 5. 2011. Archivováno z originálu 19. 5. 2012. (neurčitý)
↑ nsa.org je registrován u pairNIC.com (downlink) . Získáno 18. dubna 2013. Archivováno z originálu 15. března 2007. (neurčitý)

Literatura

RFC 2898 , str. 9-11
Zvláštní publikace NIST 800-132. Doporučení pro odvození klíče na základě hesla. // NIST

Hashovací funkce
obecný účel	Adler-32 CRC Fletcherův kontrolní součet FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hash Tree jenkins hash hash sum
Kryptografický	Stribog GOST R 34.11-94 Pás BLAKE bmw CubeHash ECHO edonkey2k FSB Fuga Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Kůže Snefru Tygr vířivá vana
Funkce generování klíčů	bcrypt PBKDF2 scrypt Argon2 Lyra2
Kontrolní číslo ( srovnání )	Kontrolní součet Verhouffův algoritmus Algoritmus Měsíce Sakra algoritmus čárový kód bankovní účty bankovních karet ISIN SNILS OKPO CÍN OKATO ISBN OGRN a OGRNIP VIN
Hashe	Porovnání kontrolních čísel Autentizační protokoly Porovnání čárových kódů Kryptografie Magnetický odkaz Merkle podpis ed2k URNA