bcrypt

bcrypt
Разработчики	Нильс Провос и David Mazières
Впервые опубликован	1999
Число раундов	2ⁿ

bcrypt — адаптивная криптографическая хеш-функция формирования ключа, используемая для защищенного хранения паролей. Разработчики: Нильс Провос и David Mazières. Функция основана на шифре Blowfish, впервые представлена на USENIX в 1999 году^[1]. Для защиты от атак с помощью радужных таблиц bcrypt использует соль (salt); кроме того, функция является адаптивной, время её работы легко настраивается и её можно замедлить, чтобы усложнить атаку перебором.

Шифр Blowfish отличается от многих алгоритмов вычислительно сложной фазой подготовки ключей шифрования^[en].

Провос и Mazières воспользовались этой особенностью, но изменили алгоритм подготовки ключей, получив шифр «Eksblowfish» (expensive key schedule Blowfish). Количество раундов в подготовке ключей должно быть степенью двойки; конкретная степень может задаваться при использовании bcrypt.

Изначально реализовано в функции crypt в OpenBSD. Существуют реализации для Java, Python, Nim, C#, Ruby, Perl, PHP 5.3, Node.js, Go^[2] и некоторых других.

Алгоритм

Алгоритм bcrypt использует алгоритм настройки ключей из «Eksblowfish»:

EksBlowfishSetup(cost, salt, key)
    state  $\gets$  InitState()
    state  $\gets$  ExpandKey(state, salt, key)
    repeat (2^cost)
        state  $\gets$  ExpandKey(state, 0, key)
        state  $\gets$  ExpandKey(state, 0, salt)
    return state

Функция InitState соответствует оригинальной функции из шифра Blowfish; для заполнения массива P и S-box используется дробная часть числа $\pi$ .

Функция ExpandKey:

ExpandKey(state, salt, key)
    for(n = 1..18)
        P_n  $\gets$  key[32(n-1)..32n-1]  $\oplus$  P_n //treat the key as cyclic
    ctext  $\gets$  Encrypt(salt[0..63])
    P₁  $\gets$  ctext[0..31]
    P₂  $\gets$  ctext[32..63]
    for(n = 2..9)
        ctext  $\gets$  Encrypt(ctext  $\oplus$  salt[64(n-1)..64n-1]) //encrypt using the current key schedule and treat the salt as cyclic
        P_2n-1)  $\gets$  ctext[0..31]
        P_2n  $\gets$  ctext[32..63]
    for(i = 1..4)
        for(n = 0..127)
            ctext  $\gets$  Encrypt(ctext  $\oplus$  salt[64(n-1)..64n-1]) //as above
            S_i[2n]  $\gets$  ctext[0..31]
            S_i[2n+1]  $\gets$  ctext[32..63]
    return state

Для вычисления хеша bcrypt обрабатывает входные данные эквивалентно шифрованию 'eksblowfish(усиленный_ключ, input)':

bcrypt(cost, salt, key, input)
    state  $\gets$  EksBlowfishSetup(cost, salt, key)
    ctext  $\gets$  input
    repeat (64)
        ctext  $\gets$  EncryptECB(state, ctext) // шифрование стандартным Blowfish в режиме ECB
    return Concatenate(cost, salt, ctext)

В различных ОС (linux, OpenBSD), использующих алгоритм bcrypt в стандартной функции crypt (3), в качестве input подается константа «OrpheanBeholderScryDoubt»^[3].

Недостатки

bcrypt был разработан в 1999 году и был защищен от эффективного перебора на аппаратных средствах того времени. В настоящее время получили широкое распространение ПЛИС, в которых bcrypt реализуется эффективнее. В 2009 был создан алгоритм scrypt, требующий для своей работы значительный объем памяти (со случайным доступом), объем памяти настраивается^[4].

В сравнении с PBKDF2, алгоритм расширения ключа в bcrypt практически не исследовался криптографами^[5].

См. также

Ссылки

Примечания

↑ Provos, Niels; Mazières, David. A Future-Adaptable Password Scheme (неопр.) // Proceedings of 1999 USENIX Annual Technical Conference. — 1999. — С. 81—92. Архивировано 4 февраля 2012 года.
↑ Package bcrypt (англ.). godoc.org. Дата обращения: 10 января 2020. Архивировано 29 мая 2020 года.
↑ Архивированная копия (неопр.). Дата обращения: 19 августа 2015. Архивировано 15 июня 2018 года.
↑ http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html Архивная копия от 14 апреля 2018 на Wayback Machine «Not only does scrypt give you more theoretical safety than bcrypt per unit compute time, but it also allows you to configure the amount of space in memory needed to compute the result.»
↑ http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html Архивная копия от 14 апреля 2018 на Wayback Machine «Unlike bcrypt, PBKDF2 has been the subject of intense research and still remains the best conservative choice.»

Хеш-функции
Общего назначения	Adler-32 CRC Контрольная сумма Флетчера FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH-Дерево хешей Jenkins hash Хеш-сумма
Криптографические	ГОСТ Р 34.11-94 Стрибог BelT BLAKE BMW CubeHash ECHO Edonkey2k FSB Fugue Grøstl HAVAL Hamsi JH Kupyna LM-хеш Luffa MASH-1 MD2 MD4 MD5 MD6 N-Hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 SHA-3 (Keccak) SHABAL SHAvite-3 SIMD SWIFFT Skein Snefru Tiger Whirlpool
Функции формирования ключа	bcrypt PBKDF2 scrypt Argon2 Lyra2
Контрольное число (сравнение)	Контрольная сумма Алгоритм Верхуффа Алгоритм Дамма Алгоритм Луна Штрих-код Банковских счетов Банковских карт ISIN СНИЛС ОКПО ИНН ОКАТО ISBN ОГРН и ОГРНИП VIN
Применение хешей	Сравнение контрольных чисел Коллизия хеш-функции Протоколы аутентификации Сравнение штрихкодов Криптография Magnet-ссылка Подпись Меркла ed2k URN

Эта страница в последний раз была отредактирована 31 октября 2022 в 07:17.

Как только страница обновилась в Википедии она обновляется в Вики 2.
Обычно почти сразу, изредка в течении часа.

Из Википедии — свободной энциклопедии

Энциклопедичный YouTube

Субтитры

Содержание

Алгоритм

Недостатки

См. также

Ссылки

Примечания