PBKDF2

PBKDF2

Udviklere	RSA-sikkerhed [d]

PBKDF2 (afledt af den engelske adgangskodebaserede nøgleafledningsfunktion ) er en adgangskodebaseret nøglegenereringsstandard . Det er en del af PKCS #5 v2.0 ( RFC 2898 ). Erstattet PBKDF1, som begrænsede længden af den genererede nøgle til 160 bit.

PBKDF2 bruger en pseudo-tilfældig funktion til at generere nøgler. Længden af den genererede nøgle er ikke begrænset (selvom den effektive kardinalitet af nøglerummet kan være begrænset af funktionerne i den anvendte pseudo-tilfældige funktion). Brugen af PBKDF2 anbefales til nye programmer og produkter. En kryptografisk hashfunktion , cipher, HMAC kan vælges som pseudo-tilfældig .

I Den Russiske Føderation er brugen af PBKDF2-funktionen reguleret af standardiseringsanbefalinger R 50.1.111-2016 "Adgangskodebeskyttelse af nøgleinformation" [1] , mens det anbefales at bruge HMAC -indsættelsesgenereringsfunktionen baseret på Stribog nøglefri hashing fungere som en pseudo-tilfældig funktion ( GOST R 34.11 ).

Algoritme

Generel visning af PBKDF2-opkaldet:

DK=PBKDF2(PRF,P,S,c,dkLen)

Algoritme muligheder:

PRF - pseudo-tilfældig funktion, med outputlængde hLen
P - hovedadgangskode
S - salt (salt)
c — antal iterationer, positivt heltal
dkLen - ønsket nøglelængde (ikke mere end ( - 1) * hLen $2^{32}$ )
Output parameter: DK - genereret nøgle af længden dkLen

Beregningsfremskridt:

1. l - antallet af blokke med længde hLen i nøglen (afrunding op), r - antallet af bytes i den sidste blok:

l=\lceil (dkLen/hLen)\rceil

r=dkLen-(l-1)*hLen

2. Anvend funktion F for hver blok med parametrene P , S , c og bloknummer:

T_{1}=F(P,S,c,1)

T_{2}=F(P,S,c,2)

...

T_{l}=F(P,S,c,l)

F er defineret som en XOR ( ) operation på de første c iterationer af PRF anvendt til P og foreningen af S og bloknummeret, skrevet som et 4-byte big-endian heltal . $\plus$

F(P,S,c,i)=U_{1}\oplus U_{2}\oplus ...\oplus U_{c}

U_{1}=PRF(P,S||INT(i))

U_{2}=PRF(P,U_{1})

...

U_{c}=PRF(P,U_{{c-1}})

3. Kombination af de modtagne blokke er nøglen DK . r bytes tages fra den sidste blok.

DK=T_{1}||T_{2}||...||T_{l}<0..r-1>

Arbejdshastighed

Et af målene med at skabe PBKDF2 var at gøre det sværere at brute force adgangskoder. På grund af de mange involverede PRF-beregninger er nøglegenereringshastigheden lav. For eksempel for WPA-PSK med parametre [2] .

DK=PBKDF2(HMAC-SHA1,adgangssætning,ssid,4096,256)

70 nøgler i sekundet blev opnået for Intel Core2 og omkring 1 tusind for Virtex-4 FX60 FPGA [3] . Til sammenligning har de klassiske LANMAN password hashing- funktioner en brute force rate på omkring hundreder af millioner af valg pr. sekund [4] .

Brug

Algoritmer

Bruges som det første og sidste trin i den adaptive kryptografiske funktion til at udlede en nøgle fra en adgangskodekryptering . Denne funktion er specielt designet til applikationer, hvor PBKDF2-beregningen er for hurtig.

Systemer

Wi-Fi beskyttet adgang (WPA og WPA2)
Microsoft Windows Data Protection API (DPAPI) [5]
Kryptering i OpenDocument Format ( OpenOffice.org )
AES-krypteringsskema i WinZip [6] [7]
LastPass til hashing med adgangskode [8]
1Password til hashing med adgangskode
Roboform til hashing af adgangskoder
Apple iOS mobiloperativsystem, for at beskytte brugeradgangskoder og adgangskoder

Diskkryptering

FileVault ( macOS ) [9]
FreeOTFE (Windows og PDA)
LUKS - Linux Unified Key Setup (Linux)
TrueCrypt (Windows, Linux, macOS)
VeraCrypt (Windows, Linux, macOS)
DiskCryptor (Windows)
Kryptografisk disk (NetBSD)
GEOM ELI-modul til FreeBSD OS
Softraid-kryptering fra OpenBSD
EncFS (Linux) siden v1.5.0

Noter

↑ R 50.1.111-2016 Informationsteknologi. Kryptografisk beskyttelse af information. Adgangskodebeskyttelse af nøgleoplysninger. . Rosstandart (2016). Hentet 10. april 2018. Arkiveret fra originalen 11. april 2018. (ubestemt)
↑ WPA-nøgleberegning: Fra adgangssætning til hex . Hentet 4. marts 2012. Arkiveret fra originalen 29. april 2015. (ubestemt)
↑ OpenCiphers . Hentet 5. maj 2011. Arkiveret fra originalen 15. april 2018. (ubestemt)
↑ OpenCiphers . Hentet 5. maj 2011. Arkiveret fra originalen 10. marts 2018. (ubestemt)
↑ Windows Data Protection Arkiveret 16. april 2007.
↑ WinZip-AES-kodningstip til udviklere . Hentet 5. maj 2011. Arkiveret fra originalen 4. april 2018. (ubestemt)
↑ BRG Hovedside
↑ LastPass sikkerhedsmeddelelse . Hentet 5. maj 2011. Arkiveret fra originalen 19. maj 2012. (ubestemt)
↑ nsa.org er registreret hos pairNIC.com (downlink) . Hentet 18. april 2013. Arkiveret fra originalen 15. marts 2007. (ubestemt)

Litteratur

RFC 2898 , s. 9-11
NIST Special Publication 800-132. Anbefaling for adgangskodebaseret nøgleafledning. // NIST

Hash funktioner
generelle formål	Adler-32 CRC Fletcher kontrolsum FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hash Tree jenkins hash hash sum
Kryptografisk	Stribog GOST R 34,11-94 Bælte BLAKE bmw CubeHash EKKO edonkey2k FSB Fuge Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Hud Snefru Tiger Whirlpool
Nøglegenereringsfunktioner	bcrypt PBKDF2 krypt Argon 2 Lyra2
Tjek nummer ( sammenligning )	Tjek sum Verhouffs algoritme Månen algoritme Damm algoritme Stregkode bankkonti bankkort ER I SNILS OKPO TIN OKATO ISBN OGRN og OGRNIP VIN
Hashes	Sammenligning af checknumre Autentificeringsprotokoller Stregkode sammenligning Kryptografi Magnet link Merkle signatur ed2k URNE