PBKDF2

✍ dations ◷ 2025-07-19 18:19:22 #PBKDF2

在密码学中, PBKDF1和PBKDF2 (基于密码的密钥派生函数 1和2 ,英语:Password-Based Key Derivation Function 1 and 2)是具有可变计算成本的密钥派生函数,可以降低面对蛮力攻击的脆弱性。

PBKDF2是RSA 实验室的公钥密码学标准(PKCS)系列的一部分,即 PKCS #5 v2.0,同时也作为互联网工程任务组的 RFC 2898发布。它取代了只能生成最长160位派生密钥的PBKDF1。2017年发布的RFC 8018(PKCS #5 v2.1)推荐使用PBKDF2进行密码哈希处理。

PBKDF2 将伪随机函数(英语:Pseudorandom function family)(例如基于散列的消息身份验证码,HMAC)与盐值一起应用于输入密码或密码词组,并多次重复该过程以生成派生密钥,然后可以将其用作后续过程的加密密钥。增加的计算工作使密码破解(英语:Password cracking)变得更加困难,这被称为密钥延伸 。

在2000年编写的标准建议最小迭代次数为1,000次,但随CPU性能的提高,该参数会随着时间的推移而增加。2005年的Kerberos标准推荐4,096次迭代;据报道,苹果公司在iOS 3中使用了2,000次,在iOS 4中使用了10,000次;而LastPass在2011年对JavaScript客户端使用了5,000次迭代,对服务器端哈希使用了100,000次迭代。 2023 年,OWASP建议PBKDF2-HMAC-SHA256使用600,000次迭代,PBKDF2-HMAC-SHA512使用210,000 次迭代。

在密码中添加盐会降低使用预计算的哈希值(彩虹表)进行攻击的能力,并且意味着必须单独测试多个密码,而不是一次测试所有密码。该标准建议盐长度至少为64位。美国国家标准与技术研究所推荐的长度为128位。

PBKDF2密钥推导函数有五个输入参数:

其中

派生密钥DK的每个hLen位的块Ti计算如下(使用+表示字符串拼接):

函数F是链式PRF的次迭代的异或( ^ )。PRF的第一次迭代使用作为PRF密钥,并将与编码为大端序32位整数的i(索引从1开始)拼接,作为输入。 PRF的后续迭代使用作为 PRF 密钥,并将先前PRF计算的输出作为输入:

其中

例如, WPA2使用:

PBKDF1过程更简单:初始 (在这个版本中称为 )由PRF(Password + Salt)创建,后面只是将上一轮的作为下一轮PRF的输入,即PRF(Uprevious) 。最后提取最终哈希的前位作为密钥。因此PBKDF1存在大小限制。

当使用 HMAC 作为其伪随机函数时,PBKDF2 有一个有趣的特性。可以简单地构造任意数量的不同密码对,并且每对密码对都存在冲突。如果提供的密码长于底层HMAC散列函数的块大小,则密码首先被预散列为摘要,然后该摘要用作密码。例如,以下密码太长:

因此,在使用 HMAC-SHA1 时,使用 SHA-1 将其预散列为:

可以用 ASCII 表示为:

这意味着无论盐或迭代次数如何,PBKDF2-HMAC-SHA1 都会为下列密码生成相同的密钥字节:

例如,使用:

下面两个函数调用:

PBKDF2-HMAC-SHA1("plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd", ...)PBKDF2-HMAC-SHA1("eBkXQTfuBqp'cTcar&g*", ...) 

将生成相同的派生密钥字节 ( 17EB4014C8C461C300E9B61518B9A18B )。这些派生密钥冲突并不代表存在安全漏洞,因为仍然必须知道原始密码才能生成密码的哈希值。利用这一性质,对于一些ZIP格式的加密压缩文件,可能存在两个可行的密码。

PBKDF2 的一个缺点是,尽管可以通过改变迭代次数来任意调整所需的计算时间,但它可以用一个小电路和很少的RAM来实现,这使得使用特殊应用集成电路(ASIC)或图形处理器(GPU)进行暴力攻击相对低廉。Bcrypt密码散列函数需要更大的RAM(但仍然不能单独调整,由给定的CPU时间决定)并且对此类攻击的抵抗力稍强, 而更现代的Scrypt密钥派生函数可以任意使用大量内存,因此更能抵抗ASIC和GPU攻击。

2013年举行的密码哈希竞赛(英语:Password Hashing Competition)(PHC)鼓励开发一种更具抵抗力的密码哈希方法。2015年7月20日,Argon2(英语:Argon2)被选为最终的获胜者,PHC还特别表彰了其他四种密码哈希方案:Catena、Lyra2(英语:Lyra2)、yescrypt和Makwa。另一种替代方法是气球哈希(英语:Balloon hashing),这是NIST密码指南(英语:Password_policy#NIST guidelines)中推荐的方法。

相关

  • 中期记忆中期记忆 (英语:Intermediate-term memory)是记忆的一个阶段,不同于感觉记忆,短期记忆/工作记忆,和长期记忆。 闪光灯记忆能维持几毫秒, 工作记忆能维持到三十秒,长期记忆能维持三十
  • 宗教社会学实证主义 · 反实证主义(英语:Antipositivism) 结构主义 · 冲突理论 中层理论 · 形式理论 批判理论 人口 · 团体 · 组织(英语:Organizational theory) · 社会化 社会性
  • 奥特洛坐标:52°06′N 5°47′E / 52.100°N 5.783°E / 52.100; 5.783奥特洛(Otterlo),或译奥特罗,是位于荷兰海尔德兰省的一个小村庄,在行政区划上属于埃德。1818年之前,奥特罗曾是独立
  • 妖魅变成夜话妖魅变成夜话(妖魅変成夜話,ようみへんじょうやわ)是日本漫画家冈野玲子的作品。故事背景为中国唐代,内容叙述主角李成潭身边的各式灵异遭遇。一般认为本漫画作品为冈野另一代表
  • 波列斯克区坐标:54°51′N 21°30′E / 54.850°N 21.500°E / 54.850; 21.500波列斯克区(俄语:Полесский район),是俄罗斯的一个区,位于该国西北部,由加里宁格勒州负责管辖,始
  • 李则芬李则芬(1909年-2004年),字虞夫,广东兴宁人。黄埔军校第五期、陆军大学特别班第五期毕业,历任军委会总务处处长,陆军大学兵学教官,第五师副师长、师长,第五军副军长,整编第93旅旅长。后
  • 杰思罗·萨姆纳杰思罗·艾克森·萨姆纳(英语:Jethro Exum Sumner,约1733年-1785年3月18日)是北卡罗莱纳州的一位地主兼商人,曾在美国独立战争期间担任大陆军军官。萨姆纳生于弗吉尼亚殖民地,在法
  • 岩城光英岩城光英(1949年12月4日-),日本政治家,自由民主党党员。出身于福岛县磐城市。1998年至2016年连续当选3届参议院议员。在自民党内属于清和政策研究会(细田派)。历任磐城市市长(2期)、
  • 刘彦平刘彦平(1955年8月-),男,汉族,河北丰南人。中国政法大学法律专业毕业,1974年4月参加工作,1979年12月加入中国共产党。曾担任中华人民共和国国家安全部纪委书记、中央纪委驻国家安全部纪检组组长、中央纪委国家监委驻国家安全部纪检监察组组长等职务。早年曾长期在北京市公安局工作,官至北京市公安局副局长。后调任公安部警卫局工作,先后担任副局长、政委;2009年升任局长。2011年8月,任中华人民共和国公安部部长助理、党委委员。2013年6月,任公安部副部长。2015年5月,不再担任公安部副部长职务。20
  • 赫尔穆特·克默雷尔赫尔穆特·克默雷尔(德语:Helmut Cämmerer,1911年5月5日-?),德国男子皮划艇运动员。他曾代表德国参加1936年夏季奥林匹克运动会皮划艇比赛,获得男子单人皮艇1000米银牌。