Krypt

krypt
Først udgivet	maj 2009

scrypt (læs es-crypt [1] ) er en adaptiv adgangskodebaseret kryptografisk nøgleafledningsfunktion skabt af FreeBSD sikkerhedsofficer Colin Percival til Tarsnap backup-lagersystemet . Funktionen er designet på en sådan måde, at den komplicerer brute-force-angrebet ved hjælp af FPGA . Dens beregning kræver en betydelig mængde hukommelse med tilfældig adgang . Den 17. september 2012 blev krypteringsalgoritmen udgivet af IETF i form af en Internet Draft , den er planlagt til at blive inkluderet i RFC [2] . Det bruges for eksempel som bevis på arbejde udført i Litecoin- kryptovalutaen [3] .

Adgangskodebaserede nøgleafledningsfunktioner ( PBKDF'er ) er typisk designet til at kræve relativt lange beregningstider (i størrelsesordenen hundreder af millisekunder). Når det bruges af en lovlig bruger, er det nødvendigt at beregne en sådan funktion én gang (for eksempel under godkendelse), og en sådan tid er acceptabel. Men i et brute-force-angreb skal angriberen udføre milliarder af funktionsberegninger, og dets beregningsmæssige kompleksitet gør angrebet langsommere og dyrere.

Imidlertid er tidlige PBKDF'er (f.eks. PBKDF2 udviklet af RSA Laboratories ) relativt hurtige at beregne og kan effektivt implementeres på specialiseret hardware ( FPGA eller ASIC ). Denne implementering giver dig mulighed for at starte store parallelle brute-force-angreb, for eksempel ved at bruge hundredvis af funktionsforekomster i hver FPGA-chip.

Krypteringsfunktionen blev designet til at gøre hardwareimplementeringer mere komplekse ved at øge mængden af ressourcer, der kræves til beregning. Denne algoritme bruger en betydelig mængde RAM (Random Access Memory) sammenlignet med andre PBKDF'er. Hukommelsen i scrypt bruges til at lagre en stor vektor af pseudo-tilfældige bitsekvenser genereret i begyndelsen af algoritmen [4] . Når først en vektor er blevet oprettet, forespørges dens elementer i en pseudo-tilfældig rækkefølge og kombineres med hinanden for at opnå en nøgle. Da algoritmen til at generere vektoren er kendt, er det muligt at implementere scrypt, som ikke kræver hukommelse, men beregner hvert element på adgangstidspunktet. At beregne et element er imidlertid relativt komplekst, og hvert element læses mange gange under krypteringsfunktionen. scrypt har en sådan balance mellem hukommelse og tid , at implementeringer uden hukommelse er for langsomme.

Definition af scrypt

scrypt (P, S, N, r, p, dkLen) = MFcrypt HMAC SHA256,SMix r (P, S, N, p, dkLen)

hvor N, r, p er parametre, der specificerer kompleksiteten af funktionsberegningen.

MFcrypt er defineret sådan: DK = MFcrypt PRF,MF (P, S, N, p, dkLen)

hvor

PRF - pseudo-tilfældig funktion (i scrypt - HMAC - SHA256 )
hLen er længden af PRF-outputtet i bytes
MF (blandingsfunktion) - en sekventiel funktion, der kræver hukommelse med tilfældig adgang (mapping fra til (i scrypt - SMix baseret på Salsa20 / 8) $Z_{{256}}^{{MFLen}}*N$ $Z_{{256}}^{{MFLen}}$
MFLen er længden af blokken blandet i MF (i bytes). MFLen=128 * r.

Inputparametre scrypt og MFcrypt:

P - adgangskode (adgangssætning) - byte streng.
S - salt (salt) - byte streng.
N er en parameter, der specificerer kompleksiteten (antal iterationer for MF).
r er en parameter, der specificerer blokstørrelsen.
p — grad af parallelitet, et helt tal mindre end (2 32 − 1)*hLen/MFLen
dkLen er den nødvendige outputnøglelængde i bytes, ikke mere end (2 32 − 1)*hLen.
DK - udgangsnøgle

MFcrypt - funktionen fungerer i henhold til algoritmen:

(B 0 … B p−1 ) = PBKDF2 PRF (P, S, 1, p * MFLen)
For alle i fra 0 til p−1 skal du anvende MF-funktionen: Bi = MF( Bi , N)
DK = PBKDF2 PRF (P, B0 || B1 || … || B p−1 ,1, dkLen)

Hukommelsesforbruget er estimeret til 128*r*N bytes [5] . Forholdet mellem antallet af læsninger og skrivninger til denne hukommelse er estimeret til 100 % og 63 % [6] .

Eksempler

Anbefalede krypteringsparametre: N = 16384, r = 8, p = 1 (hukommelsesforbrug - ca. 16 MB) [5] [6] .

Beregningshastigheden for en enkelt krypteringsoperation på en generel processor er omkring 100 millisekunder, når den er konfigureret til at bruge 32 MB hukommelse. Når den indstilles til en varighed på 1 millisekund, bruges der for lidt hukommelse, og algoritmen bliver svagere end bcrypt- algoritmen , som er sat til en sammenlignelig hastighed [7] .

Litecoin - krypteringsvalutaen bruger følgende krypteringsparametre: N = 1024, r = 1, p = 1, størrelsen af inputparameteren og salt er 80 bytes, størrelsen af DK er 256 bit (32 bytes) [8] . RAM-forbruget er omkring 128 KB. Beregningen af en sådan kryptering på videokort er cirka 10 gange hurtigere end på processorer til generelle formål [6] , hvilket er en indikation af valget af utilstrækkeligt stærke parametre [7] .

Se også

Krypto (C)
Krypto (Unix)
PBKDF2
bcrypt
HEKS (Rienhold, 1999)
slothKDF (Elias Yarrkov, dhbitty)
Kompromis med tid og hukommelse

Noter

↑ Colin Percival på Twitter: "For ordens skyld udtales "scrypt" "ess crypt". Ligesom bcrypt, undtagen med et S i stedet for B. Det udtales IKKE "script"." . Hentet 4. maj 2017. Arkiveret fra originalen 17. februar 2019. (ubestemt)
↑ C. Percival, S. Josefsson. Den krypterede adgangskodebaserede nøgleafledningsfunktion (neopr.) . - Internet Engineering Council , 2012. - 17. september.
↑ Litecoin-Bitcoin . Hentet 16. juli 2013. Arkiveret fra originalen 16. juni 2018. (ubestemt)
↑ Arkiveret kopi (link ikke tilgængeligt) . Hentet 17. juli 2013. Arkiveret fra originalen 17. december 2013. (ubestemt) side 5
↑ 1 2 Crypto.Scrypt
↑ 1 2 3 http://2012.zeronights.org/includes/docs/SolarDesigner%20-%20New%20Developments%20in%20Password%20Hashing.pdf Arkiveret 28. december 2016 på Wayback Machine -dias 4 "Problemer med scrypt massebrugergodkendelse"; slide 6
↑ 1 2 http://distro.ibiblio.org/openwall/presentations/Password-Hashing-At-Scale/YaC2012-Password-Hashing-At-Scale.pdf Arkiveret 18. oktober 2014 på Wayback Machine- dias 18 "GPU-angreb på moderne hashes": "kryptere med op til ~1MB (misbrug)"; rutsjebane 19-21
↑ Scrypt - Litecoin Wiki (downlink) . Hentet 17. juli 2013. Arkiveret fra originalen 16. august 2013. (ubestemt)

Links

Funktionen scrypt-nøgleafledning — Beskrivelse af scrypt på Tarsnap- webstedet
Colin Percival, "Stærkere nøgleafledning via sekventielle hukommelseshårde funktioner" // BSDCan'09, maj 2009
Colin Percival, scrypt: En nøgleafledningsfunktion. Gør vores bedste for at forhindre TLA'er bevæbnet med ASIC'er , 4. december 2012

Implementeringer:

Hash funktioner
generelle formål	Adler-32 CRC Fletcher kontrolsum FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hash Tree jenkins hash hash sum
Kryptografisk	Stribog GOST R 34,11-94 Bælte BLAKE bmw CubeHash EKKO edonkey2k FSB Fuge Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Hud Snefru Tiger Whirlpool
Nøglegenereringsfunktioner	bcrypt PBKDF2 krypt Argon 2 Lyra2
Tjek nummer ( sammenligning )	Tjek sum Verhouffs algoritme Månen algoritme Damm algoritme Stregkode bankkonti bankkort ER I SNILS OKPO TIN OKATO ISBN OGRN og OGRNIP VIN
Hashes	Sammenligning af checknumre Autentificeringsprotokoller Stregkode sammenligning Kryptografi Magnet link Merkle signatur ed2k URNE