web-dev-qa-db-ja.com

暗号は時の試練に耐えましたか?

scryptbcrpyt ...よりも優れているといつも聞いていましたが、メモリが原因でGPUのクラックが非常に困難になったためです。ただし、常にscryptはテストされておらず、新しいcryptメソッドの一種であり、使用する前にテストされるまで待つ必要があるという考えが常にありました。

人々がscryptを使用する新しい標準にした時が来ましたか?それともまだベータ段階ですか?

12
Arian Faurtosh

Scryptはほとんど生き残っています。悪くはないです;競合他社(主にbcryptとPBKDF2)に対するscryptの宣伝されている利点は、最初に主張されたほど素晴らしいものではないかもしれません。いつものように、これはトレードオフです。他のパスワードハッシュ関数と同様に、その役割は、パスワードハッシュを誰にとっても、攻撃者や防御者にとっても高価にすることです。 Scryptは、攻撃者が防御側(PC)と同じハードウェアを使用するように強制するために、RAMを大量に使用します。ただし、大量のRAM

パスワードハッシュの現在の情報については このプレゼンテーション を参照してください。 オープンコンペティション が実行され、新しい、そしてうまくいけばより良い機能を取得、公開、分析します(現在、候補者を集める段階にあります)。

14
Thomas Pornin

scryptに固有の安全性のかなりのビットは、特定の約束をしませんが、少なくとも、既存の選択肢。

したがって、最悪のシナリオでは、scryptは既存の反復ハッシュ構成手法と同じくらい優れています。 scryptはそれ自体、反復合成手法であり、既存の手法は比較的単純であるため、scryptは、他の方法よりも安全性が低い可能性があります。この意味での安全性は、推奨構成で確立されたハッシュを使用しているという事実に基づいています。

最良のシナリオでは、scryptの価格を上げますブルートフォースパスワードハッシュに使用するハードウェア。どれくらい?保障はありません。設計目標は、ハッシュクラッキングデバイスにかなりの量の専用RAMが必要であることです。これは、このようなデバイスに入る必要があるチップダイスペースの量を劇的に増やすか、またはメモリが非常に遅いか、非常に高価なため、デバイスの速度。

しかし、成功の基準はなく、防御する特定の攻撃もありません。 「ハードウェアをより高価にする可能性がある」という一般的な主張があり、それはほとんど主張していません。

もちろん、主な欠点は、おそらくハードウェアがより高価になることです。今回はハードウェア。設計目標は、ハッシュのコストを増やすことです。つまり、コンピューターは、他のハッシュ戦略と同等の設定よりもコストがかかるか、パフォーマンスが低下する必要があります。 scryptの意味がわからない場合は、これが本当の問題になる可能性があります。

5
tylerl

Thomas Pornin の最も優れた答えを念頭に置いて、1つのinterimオプションは、今日のGPUを阻止するメカニズムを使用することです-ベースのクラッキングシステムですが、 パスワードハッシュコンテスト の結果が利用可能になったら、その結果に移行することを期待しています。

たとえば、PBKDF2-HMAC-SHA512を使用すると、SHA512を使用することにより、今日のGPUのクラックを防ぐことができます。しかし、この種の測定は一時的なアプローチとしてのみ見られるべきです。長期的な解決策ではありません。

3