PBKDF2

PBKDF2 (Шаблон:Lang-en) — стандарт формування ключа на основі пароля. Є частиною PKCS #5 v2.0 (RFC 2898). Замінив PBKDF1, який обмежував довжину породжуваного ключа 160 бітами.

PBKDF2 використовує псевдовипадкову функцію для отримання ключів. Довжина ключа, що генерується — не обмежується (хоча ефективна потужність простору ключів може бути обмежена особливостями застосовуваної псевдовипадковою функції). Використання PBKDF2 рекомендовано для нових програм і продуктів. В якості псевдовипадкової може бути обрана криптографічна хеш-функція, шифр, HMAC.

Алгоритм

Загальний вигляд виклику PBKDF2:

D K = P B K D F 2 (P R F, P, S, c, d k L e n)

Опції алгоритму:

PRF — псевдовипадкова функція, з виходом довжини hLen.
P — майстер-пароль.
S — сіль (salt).
c — кількість ітерацій, додатне ціле число.
dkLen — бажана довжина ключа (не більше (2^32 — 1) * hLen).
Вихідний параметр: DK — згенерований ключ довжини dkLen.

Хід обчислень:

1. l — кількість блоків довжини hLen в ключі (округлення вгору), r — кількість байт в останньому блоці:

l = ⌈ (d k L e n / h L e n) ⌉

r = d k L e n - (l - 1) * h L e n

2. Для кожного блоку застосувати функцію F з параметрами P — майстер пароль, S — сіль, c — кількість ітерацій, і номером блоку:

T_{1} = F (P, S, c, 1)

T_{2} = F (P, S, c, 2)

. . .

T_{l} = F (P, S, c, l)

F визначена як операція xor ( $\oplus$ ) над першими c ітераціями функції PRF, застосованої до паролю P і об'єднання солі S і номера блоку, записаного як 4-байтове ціле з першим msb байтом.

F (P, S, c, i) = U_{1} \oplus U_{2} \oplus . . . \oplus U_{c}

U_{1} = P R F (P, S | | I N T (i))

U_{2} = P R F (P, U_{1})

. . .

U_{c} = P R F (P, U_{c - 1})

3. Об'єднання отриманих блоків становить ключ DK. Від останнього блоку береться r байт.

D K = T_{1} | | T_{2} | | . . . | | T_{l} < 0 . . r - 1 >

Швидкість роботи

Одним із завдань при створенні PBKDF2 було ускладнити перебір паролів. Завдяки множині зчеплених обчислень PRF швидкість генерації ключа є невисокою. Наприклад, для WPA-PSK з параметрами^[1]:

D K = P B K D F 2 (H M A C - S H A 1, p a s s p h r a s e, s s i d, 4096, 256)

були досягнуті швидкості перебору ключів 70 одиниць в секунду для Intel Core2 і близько 1 тисячі на ПЛІС Virtex-4 FX60^[2]. Для порівняння, класичні функції хешування паролю LANMAN мають швидкість перебору близько сотень мільйонів варіантів в секунду^[3].

Використання

Алгоритми

Використовується як перша і остання стадія в адаптивній криптографічній функції формування ключа на основі пароля scrypt. Дана функція була спеціально розроблена для додатків, де обчислення PBKDF2 виявляється занадто швидким.

Системи

Wi-Fi Protected Access (WPA і WPA2)
Microsoft Windows Data Protection API (DPAPI)^[4]
Шифрування у форматі OpenDocument (OpenOffice.org)
Схема шифрування AES у WinZip^[5]^[6]
LastPass для хешування паролів^[7]
1Password для хешування паролів
Apple iOS мобільна операційна система, для захисту користувача кодів і паролів доступу

Шифрування дисків

FileVault (macOS)^[8]
FreeOTFE (Windows і КПК)
LUKS — Unified Linux Key Setup (Linux)
TrueCrypt (Windows, Linux, macOS)
VeraCrypt (Windows, Linux, macOS)
DiskCryptor (Windows)
Cryptographic disk (NetBSD)
GEOM ELI модуль для ОС FreeBSD
Шифрування softraid з OpenBSD
EncFS (Linux) з версії v1.5.0

Примітки

Шаблон:Reflist

Шаблон:Геш-функції та коди аутентифікації повідомлення

[1] Шаблон:Cite web

[2] Шаблон:Cite web

[3] Шаблон:Cite web

[4] Windows Data Protection Шаблон:Webarchive

[5] Шаблон:Cite web

[6] BRG Main SIte

[7] Шаблон:Cite web

[8] Шаблон:Cite web Шаблон:Webarchive

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

PBKDF2

Зміст

Алгоритм

Швидкість роботи

Використання

Алгоритми

Системи

Шифрування дисків

Примітки

Навігаційне меню

PBKDF2

Алгоритм

Швидкість роботи

Використання

Алгоритми

Системи

Шифрування дисків

Примітки

Навігаційне меню

Пошук