Cripta

cripta
Prima publicat	mai 2009

scrypt (citește es-crypt [1] ) este o funcție adaptivă de derivare a cheilor criptografice bazată pe parolă creată de ofițerul de securitate FreeBSD Colin Percival pentru sistemul de stocare de rezervă Tarsnap . Funcția este concepută astfel încât să complice atacul cu forță brută folosind FPGA . Calculul său necesită o cantitate semnificativă de memorie cu acces aleatoriu . La 17 septembrie 2012, algoritmul scrypt a fost publicat de IETF sub forma unui Internet Draft , acesta este planificat să fie inclus în RFC [2] . Este folosit, de exemplu, ca dovadă a muncii depuse în criptomoneda Litecoin [3] .

Funcțiile de derivare a cheilor bazate pe parole ( PBKDF ) sunt de obicei concepute pentru a necesita timpi de calcul relativ lungi (de ordinul mărimii, sute de milisecunde). Atunci când este utilizat de un utilizator legal, este necesar să se calculeze o astfel de funcție o dată (de exemplu, în timpul autentificării) și un astfel de timp este acceptabil. Dar într-un atac cu forță brută , atacatorul trebuie să efectueze miliarde de calcule de funcții, iar complexitatea sa de calcul face ca atacul să fie mai lent și mai costisitor.

Cu toate acestea, PBKDF-urile timpurii (de exemplu , PBKDF2 dezvoltat de RSA Laboratories ) sunt relativ rapid de calculat și pot fi implementate eficient pe hardware specializat ( FPGA sau ASIC ). Această implementare vă permite să lansați atacuri paralele de forță brută la scară largă, de exemplu, folosind sute de instanțe de funcție în fiecare cip FPGA.

Funcția scrypt a fost concepută pentru a face implementările hardware mai complexe prin creșterea cantității de resurse necesare pentru calcul. Acest algoritm folosește o cantitate semnificativă de RAM (memorie cu acces aleatoriu) în comparație cu alte PBKDF. Memoria din scrypt este folosită pentru a stoca un vector mare de secvențe de biți pseudo-aleatorie generate la începutul algoritmului [4] . Odată ce un vector a fost creat, elementele sale sunt interogate într-o ordine pseudo-aleatoare și combinate între ele pentru a obține o cheie. Deoarece algoritmul de generare a vectorului este cunoscut, este posibil să se implementeze scrypt, care nu necesită memorie, dar calculează fiecare element în momentul accesării. Cu toate acestea, calcularea unui element este relativ complexă și fiecare element este citit de multe ori în timpul funcției scrypt. scrypt are un astfel de echilibru între memorie și timp, încât implementările non-memory sunt prea lente.

Definiția scrypt

scrypt (P, S, N, r, p, dkLen) = MFcrypt HMAC SHA256,SMix r (P, S, N, p, dkLen)

unde N, r, p sunt parametri care specifică complexitatea calculului funcției.

MFcrypt este definit astfel: DK = MFcrypt PRF,MF (P, S, N, p, dkLen)

Unde

PRF - funcție pseudo-aleatorie (în scrypt - HMAC - SHA256 )
hLen este lungimea ieșirii PRF în octeți
MF (funcție de amestecare) - o funcție secvențială care necesită memorie cu acces aleatoriu (mapping from to (în scrypt - SMix bazat pe Salsa20 / 8) $Z_{{256}}^{{MFLen}}*N$ $Z_{{256}}^{{MFLen}}$
MFLen este lungimea blocului amestecat în MF (în octeți). MFLen=128 * r.

Parametrii de intrare scrypt și MFcrypt:

P - parola (parola) - șir de octeți.
S - sare (sare) - șir de octeți.
N este un parametru care specifică complexitatea (numărul de iterații pentru MF).
r este un parametru care specifică dimensiunea blocului.
p — grad de paralelism, un număr întreg mai mic decât (2 32 − 1)*hLen/MFLen
dkLen este lungimea necesară a cheii de ieșire în octeți, nu mai mult de (2 32 − 1)*hLen.
DK - cheie de ieșire

Funcția MFcrypt funcționează conform algoritmului:

(B 0 … B p−1 ) = PBKDF2 PRF (P, S, 1, p * MFLen)
Pentru toate i de la 0 la p−1, aplicați funcția MF: Bi = MF(B i , N)
DK = PBKDF2 PRF (P, B0 || B1 || … || B p−1 ,1, dkLen)

Consumul de memorie este estimat la 128*r*N octeți [5] . Raportul dintre numărul de citiri și scrieri în această memorie este estimat la 100% și 63% [6] .

Exemple

Parametrii scrypt recomandați: N = 16384, r = 8, p = 1 (consum de memorie - aproximativ 16 MB) [5] [6] .

Viteza de calcul pentru o singură operațiune de criptare pe un procesor de uz general este de aproximativ 100 de milisecunde atunci când este configurată pentru a utiliza 32 MB de memorie. Când se setează la o durată de 1 milisecundă, se folosește prea puțină memorie și algoritmul devine mai slab decât algoritmul bcrypt , care este setat la o viteză comparabilă [7] .

Criptomoneda Litecoin folosește următorii parametri scrypt: N = 1024, r = 1, p = 1, dimensiunea parametrului de intrare și sare este de 80 de octeți, dimensiunea DK este de 256 de biți (32 de octeți) [8] . Consumul de RAM este de aproximativ 128 KB. Calculul unui astfel de scrypt pe plăcile video este de aproximativ 10 ori mai rapid decât pe procesoarele de uz general [6] , ceea ce este un indiciu al alegerii unor parametri insuficient de puternici [7] .

Vezi și

Cripto (C)
Crypto (Unix)
PBKDF2
bcrypt
HEKS (Rienhold, 1999)
leneșKDF (Elias Yarrkov, dhbitty)
Compromis de timp și memorie

Note

↑ Colin Percival pe Twitter: „Pentru evidență, „scrypt” se pronunță „ess crypt”. Ca și bcrypt, cu excepția cu un S în loc de B. NU se pronunță „script”.” . Preluat la 4 mai 2017. Arhivat din original pe 17 februarie 2019. (nedefinit)
↑ C. Percival, S. Josefsson. Funcția de derivare a cheii bazată pe parolă scrypt (neopr.) . - Internet Engineering Council , 2012. - 17 septembrie.
↑ Litecoin-Bitcoin . Consultat la 16 iulie 2013. Arhivat din original la 16 iunie 2018. (nedefinit)
↑ Copie arhivată (link nu este disponibil) . Consultat la 17 iulie 2013. Arhivat din original la 17 decembrie 2013. (nedefinit) pagina 5
↑ 1 2 Crypto.Scrypt
↑ 1 2 3 http://2012.zeronights.org/includes/docs/SolarDesigner%20-%20New%20Developments%20in%20Password%20Hashing.pdf Arhivat 28 decembrie 2016 pe diapozitivul Wayback Machine 4 „Probleme cu scrypt pentru autentificarea în masă a utilizatorilor”; slide 6
↑ 1 2 http://distro.ibiblio.org/openwall/presentations/Password-Hashing-At-Scale/YaC2012-Password-Hashing-At-Scale.pdf Arhivat la 18 octombrie 2014 la diapozitivul Wayback Machine 18 „GPU Attacks pe hash-uri moderne": "criptare până la ~1MB (utilizare greșită)"; slide 19-21
↑ Scrypt - Litecoin Wiki (link în jos) . Consultat la 17 iulie 2013. Arhivat din original la 16 august 2013. (nedefinit)

Link -uri

Funcția de derivare a cheii scrypt — Descrierea scrypt pe site-ul web Tarsnap
Colin Percival, „Derivarea tastelor mai puternice prin funcții secvențiale de memorie hard” // BSDCan'09, mai 2009
Colin Percival, scrypt: O funcție de derivare a cheilor. Facem tot posibilul pentru a dejuca TLA-urile înarmate cu ASIC , 4 decembrie 2012

Implementări:

Funcții hash
scop general	Adler-32 CRC Suma de control Fletcher FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hash Tree jenkins hash suma hash
Criptografic	Stribog GOST R 34.11-94 Centura BLAKE BMW CubeHash ECOU edonkey2k FSB Fugă Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Piele Snefru Tigru Vârtej
Funcții de generare a cheilor	bcrypt PBKDF2 cripta Argon2 Lyra2
Numărul de verificare ( comparație )	Verificați suma Algoritmul lui Verhouff Algoritmul lunii Algoritmul Damm Cod de bare conturi bancare carduri bancare ESTE IN SNILS OKPO STANIU OKATO ISBN OGRN și OGRNIP VIN
Hashes	Comparația numerelor de cec Protocoale de autentificare Comparația codurilor de bare Criptografie Legătură magnetică Semnătura Merkle ed2k URNĂ