PBKDF2

✍ dations ◷ 2025-08-26 20:32:50 #PBKDF2

在密码学中， PBKDF1和PBKDF2 （基于密码的密钥派生函数 1和2 ，英语：Password-Based Key Derivation Function 1 and 2）是具有可变计算成本的密钥派生函数，可以降低面对蛮力攻击的脆弱性。

PBKDF2是RSA 实验室的公钥密码学标准（PKCS）系列的一部分，即 PKCS #5 v2.0，同时也作为互联网工程任务组的 RFC 2898发布。它取代了只能生成最长160位派生密钥的PBKDF1。2017年发布的RFC 8018（PKCS #5 v2.1）推荐使用PBKDF2进行密码哈希处理。

PBKDF2 将伪随机函数（英语：Pseudorandom function family）（例如基于散列的消息身份验证码，HMAC）与盐值一起应用于输入密码或密码词组，并多次重复该过程以生成派生密钥，然后可以将其用作后续过程的加密密钥。增加的计算工作使密码破解（英语：Password cracking）变得更加困难，这被称为密钥延伸。

在2000年编写的标准建议最小迭代次数为1,000次，但随CPU性能的提高，该参数会随着时间的推移而增加。2005年的Kerberos标准推荐4,096次迭代；据报道，苹果公司在iOS 3中使用了2,000次，在iOS 4中使用了10,000次；而LastPass在2011年对JavaScript客户端使用了5,000次迭代，对服务器端哈希使用了100,000次迭代。 2023 年，OWASP建议PBKDF2-HMAC-SHA256使用600,000次迭代，PBKDF2-HMAC-SHA512使用210,000 次迭代。

在密码中添加盐会降低使用预计算的哈希值（彩虹表）进行攻击的能力，并且意味着必须单独测试多个密码，而不是一次测试所有密码。该标准建议盐长度至少为64位。美国国家标准与技术研究所推荐的长度为128位。

PBKDF2密钥推导函数有五个输入参数：

其中

派生密钥DK的每个hLen位的块T_i计算如下（使用+表示字符串拼接）：

函数F是链式PRF的次迭代的异或( ^ )。PRF的第一次迭代使用作为PRF密钥，并将与编码为大端序32位整数的i（索引从1开始）拼接，作为输入。 PRF的后续迭代使用作为 PRF 密钥，并将先前PRF计算的输出作为输入：

其中

例如， WPA2使用：

PBKDF1过程更简单：初始（在这个版本中称为）由PRF(Password + Salt)创建，后面只是将上一轮的作为下一轮PRF的输入，即PRF(U_previous) 。最后提取最终哈希的前位作为密钥。因此PBKDF1存在大小限制。

当使用 HMAC 作为其伪随机函数时，PBKDF2 有一个有趣的特性。可以简单地构造任意数量的不同密码对，并且每对密码对都存在冲突。如果提供的密码长于底层HMAC散列函数的块大小，则密码首先被预散列为摘要，然后该摘要用作密码。例如，以下密码太长：

因此，在使用 HMAC-SHA1 时，使用 SHA-1 将其预散列为：

可以用 ASCII 表示为：

这意味着无论盐或迭代次数如何，PBKDF2-HMAC-SHA1 都会为下列密码生成相同的密钥字节：

例如，使用：

下面两个函数调用：

PBKDF2-HMAC-SHA1("plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd", ...)PBKDF2-HMAC-SHA1("eBkXQTfuBqp'cTcar&g*", ...)

将生成相同的派生密钥字节 ( 17EB4014C8C461C300E9B61518B9A18B )。这些派生密钥冲突并不代表存在安全漏洞，因为仍然必须知道原始密码才能生成密码的哈希值。利用这一性质，对于一些ZIP格式的加密压缩文件，可能存在两个可行的密码。

PBKDF2 的一个缺点是，尽管可以通过改变迭代次数来任意调整所需的计算时间，但它可以用一个小电路和很少的RAM来实现，这使得使用特殊应用集成电路（ASIC）或图形处理器（GPU）进行暴力攻击相对低廉。Bcrypt密码散列函数需要更大的RAM（但仍然不能单独调整，由给定的CPU时间决定）并且对此类攻击的抵抗力稍强，而更现代的Scrypt密钥派生函数可以任意使用大量内存，因此更能抵抗ASIC和GPU攻击。

2013年举行的密码哈希竞赛（英语：Password Hashing Competition）（PHC）鼓励开发一种更具抵抗力的密码哈希方法。2015年7月20日，Argon2（英语：Argon2）被选为最终的获胜者，PHC还特别表彰了其他四种密码哈希方案：Catena、Lyra2（英语：Lyra2）、yescrypt和Makwa。另一种替代方法是气球哈希（英语：Balloon hashing），这是NIST密码指南（英语：Password_policy#NIST guidelines）中推荐的方法。

相关

蒸馏酒蒸馏酒（英语：liquor），是利用谷物、水果或蔬菜在经过酒精发酵后的产物为原料，以蒸馏方式所制造出的酒。蒸馏的过程会净化液体并除去稀释酒的成分（例如水），目的是增加其酒精浓度（通常以
良知良知或良心，是人类辨别对与错的能力。由于良知的影响，当人类所作的与价值观不合时，会感到自责。良知也可以视为人类在辨别对与错时，作为判断基准的价值观。功利主义 · 归结主
F(x)影视作品列表f(x)影视作品列表主要列举介绍韩国女子团体f(x)参与演出的专属电视节目、剧集、电影和综艺节目。《Hello f(x)》为2010年YStar拍摄制作的f(x)首个团体综艺节目，是在f(x)推出
斜杠青年斜杠青年，亦作Slash族、弹性就业青年或斜杠族，指一种始自美国纽约女专栏作家及咨询师马奇·艾波赫（英语：Marci Alboher）的畅销书《不能只打一份工︰多重压力下的职场求生术》的一种
围攻索非亚围攻索非亚，是保加利亚-奥斯曼战争一部分，发生在1382年或1385年。因为不能抵抗奥斯曼帝国进攻，在1373年保加利亚皇帝伊凡·西什曼同意成为奥斯曼帝国臣下并把妹妹琪拉·塔玛拉
刺柄南星刺柄南星（学名：）为天南星科天南星属的植物，是中国的特有植物。分布在中国大陆的陕西、四川、湖南、甘肃、湖北、河南等地，生长于海拔1,300米至2,900米的地区，多生长于山坡林下以及
拉诺利拉诺利（Ranoli），是印度古吉拉特邦Vadodara县的一个城镇。总人口11057（2001年）。该地2001年总人口11057人，其中男性6005人，女性5052人；0—6岁人口1332人，其中男710人，女622人；识字率73.6
爨震爨震，南朝梁宁州人，到隋时为爨豪酋。父为爨瓒，在其父死后与爨翫分统其部众，相承至隋，对隋态度相当傲慢，年贡马仅数十匹。隋以韦冲为南宁州总管，军至南宁，震与西爨首领诣府谒降服，旋叛
曾祢好忠曾祢好忠（日语：曽禰好忠〔曾禰好忠〕或曽根好忠〔曾根好忠〕／そねのよしただ */?，930年－1003年）是日本平安时代中期的官人（日语：官人）和歌人，官位（日语：官位）是从六位下丹后掾（日语：掾
2017年10月6日福岛近海地震 (23时56分)坐标：37°06′00″N 141°11′49″E / 37.100°N 141.197°E / 37.100; 141.1972017年10月福岛近海地震是2017年10月6日23时56分40秒发生于日本福岛县近海的一次地震，是一次2011年日本东北地方太平洋近海地震的余震，同时也是日本气象厅所发布的日本附近地区主要被害地震列表中的一次地震。地震规模为Mj 5.9级、MW 5.7级，震源深度约为53.0千米。本次地震触发了2017年日本气象厅第6次紧急地震速报（警报），且引发了整个东北地方和关东地