Scrypt

scrypt
Először megjelent	2009. május

A scrypt (olvassa el az es-crypt [1] ) egy adaptív, jelszó alapú kriptográfiai kulcs-levezető funkció , amelyet a FreeBSD biztonsági tisztje, Colin Percival hozott létre a Tarsnap biztonsági mentési rendszerhez . A funkciót úgy tervezték meg, hogy bonyolítsa az FPGA -t használó brute-force támadást . Kiszámítása jelentős mennyiségű , véletlen hozzáférésű memóriát igényel . A titkosítási algoritmust 2012. szeptember 17-én tette közzé az IETF Internet Draft formájában , a tervek szerint az RFC -be is beépítik [2] . Használják például a Litecoin kriptovalutában végzett munka igazolására [3] .

A jelszó alapú kulcs-levezetési függvényeket ( PBKDF ) általában úgy tervezték, hogy viszonylag hosszú számítási időt igényeljenek (nagyságrendileg több száz ezredmásodperc). Jogi felhasználó általi használat esetén egy ilyen függvényt egyszer kell kiszámítani (például hitelesítés során), és ez az idő elfogadható. A brute-force támadásnál azonban a támadónak több milliárd függvényszámítást kell végrehajtania, és a számítási összetettség miatt a támadás lassabb és drágább.

A korai PBKDF-ek (pl . az RSA Laboratories által kifejlesztett PBKDF2 ) azonban viszonylag gyorsan kiszámíthatók, és speciális hardveren ( FPGA vagy ASIC ) hatékonyan implementálhatók. Ez a megvalósítás lehetővé teszi nagyszabású párhuzamos brute force támadások indítását, például több száz függvénypéldány felhasználásával minden FPGA chipben.

A scrypt funkciót úgy tervezték, hogy a számításhoz szükséges erőforrások mennyiségének növelésével bonyolultabbá tegye a hardver megvalósítását. Ez az algoritmus más PBKDF-ekhez képest jelentős mennyiségű RAM-ot (random access memory) használ. A scrypt-ben lévő memória az algoritmus elején generált pszeudo-véletlen bitsorozatok nagy vektorának tárolására szolgál [4] . Miután létrehoztunk egy vektort, elemeit pszeudo-véletlen sorrendben lekérdezzük, és egymással kombinálva kulcsot kapunk. Mivel a vektor generálására szolgáló algoritmus ismert, lehetséges a scrypt megvalósítása, amely nem igényel memóriát, de az egyes elemeket a hozzáférés időpontjában számítja ki. Egy elem kiszámítása azonban viszonylag bonyolult, és a titkosítási funkció során minden elemet sokszor ki kell olvasni. A scrypt olyan egyensúlyban van a memória és az idő között , hogy a nem memóriás megvalósítások túl lassúak.

A scrypt meghatározása

scrypt (P, S, N, r, p, dkLen) = MFcrypt HMAC SHA256,SMix r (P, S, N, p, dkLen)

ahol N, r, p a függvényszámítás bonyolultságát meghatározó paraméterek.

Az MFcrypt definíciója a következő: DK = MFcrypt PRF,MF (P, S, N, p, dkLen)

ahol

PRF - pszeudo-véletlen függvény (scrypt-ben - HMAC - SHA256 )
hLen a PRF kimenet hossza bájtban
MF (keverési funkció) - egy szekvenciális funkció, amely véletlen elérésű memóriát igényel (leképezés: -tól -ig (scryptben - SMix Salsa20 / 8 alapján) $Z_{{256}}^{{MFLen}}*N$ $Z_{{256}}^{{MFLen}}$
Az MFLen a blokk hossza MF-ben keverve (byte-ban). MFLen=128 * r.

Bemeneti paraméterek scrypt és MFcrypt:

P - jelszó (jelszó) - bájtkarakterlánc.
S - só (só) - bájtkarakterlánc.
Az N egy paraméter, amely megadja a bonyolultságot (az MF iterációinak számát).
r a blokk méretét meghatározó paraméter.
p – párhuzamosság mértéke, egész szám kisebb, mint (2 32 − 1)*hLen/MFLen
A dkLen a szükséges kimeneti kulcs hossza bájtokban, legfeljebb (2 32 − 1)*hLen.
DK - kimeneti kulcs

Az MFcrypt függvény a következő algoritmus szerint működik:

(B 0 … B p−1 ) = PBKDF2 PRF (P, S, 1, p * MFLen)
Minden i-re 0-tól p-1-ig alkalmazza az MF függvényt: B i = MF(B i , N)
DK = PBKDF2 PRF (P, B0 || B1 || … || B p−1 ,1, dkLen)

A memóriafelhasználást 128*r*N bájtra becsülik [5] . Az olvasások és írások számának ehhez a memóriához viszonyított arányát 100%-ra és 63%-ra becsülik [6] .

Példák

Javasolt titkosítási paraméterek: N = 16384, r = 8, p = 1 (memóriafogyasztás - körülbelül 16 MB) [5] [6] .

Egy általános célú processzoron végzett egyetlen titkosítási művelet számítási sebessége körülbelül 100 ezredmásodperc, ha 32 MB memória használatára van beállítva. Ha 1 ezredmásodperces időtartamra van beállítva, túl kevés memória kerül felhasználásra, és az algoritmus gyengébb lesz, mint a bcrypt algoritmus , amely hasonló sebességre van beállítva [7] .

A Litecoin kriptovaluta a következő titkosítási paramétereket használja: N = 1024, r = 1, p = 1, a bemeneti paraméter és a só mérete 80 bájt, a DK mérete 256 bit (32 bájt) [8] . A RAM-fogyasztás körülbelül 128 KB. Az ilyen titkosítás kiszámítása a videokártyákon körülbelül 10-szer gyorsabb, mint az általános célú processzorokon [6] , ami a nem kellően erős paraméterek megválasztását jelzi [7] .

Lásd még

Kripto (C)
Kripto (Unix)
PBKDF2
bcrypt
HEKS (Rienhold, 1999)
slothKDF (Elias Yarrkov, dhbitty)
Az idő és a memória kompromisszuma

Jegyzetek

↑ Colin Percival a Twitteren: "Egyébként a "scrypt" szót "ess crypt"-nek ejtik. Mint a bcrypt, kivéve, ha a B helyett S betű van. NEM ejtik "script"." . Letöltve: 2017. május 4. Az eredetiből archiválva : 2019. február 17. (határozatlan)
↑ C. Percival, S. Josefsson. A scrypt jelszó alapú kulcs származtatási függvény (neopr.) . - Internet Engineering Council , 2012. - szeptember 17.
↑ Litecoin-Bitcoin . Letöltve: 2013. július 16. Az eredetiből archiválva : 2018. június 16. (határozatlan)
↑ Archivált másolat (a hivatkozás nem elérhető) . Letöltve: 2013. július 17. Az eredetiből archiválva : 2013. december 17.. (határozatlan) 5. oldal
↑ 1 2 Crypto.Scrypt
↑ 1 2 3 http://2012.zeronights.org/includes/docs/SolarDesigner%20-%20New%20Developments%20in%20Password%20Hashing.pdf Archiválva : 2016. december 28. a Wayback Machine 4 "Is crypts foru diával" tömeges felhasználói hitelesítés"; 6. dia
↑ 1 2 http://distro.ibiblio.org/openwall/presentations/Password-Hashing-At-Scale/YaC2012-Password-Hashing-At-Scale.pdf Archiválva : 2014. október 18., a Wayback Machine 18 "GPU Attacks slide modern kivonatokon": "~1 MB-ig titkosítás (helytelen használat)"; dia 19-21
↑ Scrypt - Litecoin Wiki (downlink) . Letöltve: 2013. július 17. Az eredetiből archiválva : 2013. augusztus 16.. (határozatlan)

Linkek

A scrypt kulcs levezetési funkciója — A scrypt leírása a Tarsnap webhelyen
Colin Percival, "Erősebb kulcsok származtatása szekvenciális memória-kemény függvényekkel" // BSDCan'09, 2009. május
Colin Percival, scrypt: Kulcs származtatási funkció. Mindent megteszünk az ASIC-kkel felfegyverzett TLA-k meghiúsítása érdekében , 2012. december 4.

Megvalósítások:

Hash függvények
Általános rendeltetésű	Adler-32 CRC Fletcher ellenőrző összeg FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH – Hash Tree jenkins hash hash összeg
Kriptográfia	Stribog GOST R 34.11-94 Öv BLAKE BMW CubeHash VISSZHANG edonkey2k FSB Fúga Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Bőr Snefru Tigris Örvény
Kulcsgenerálási funkciók	bcrypt PBKDF2 scrypt Argon2 Lyra2
Csekkszám ( összehasonlítás )	Ellenőrző összeg Verhouff algoritmusa Hold algoritmus Damm algoritmus Vonalkód bankszámlák bankkártyák VAN SNILS OKPO ÓN OKATO ISBN OGRN és OGRNIP VIN
Hashes	A csekkszámok összehasonlítása Hitelesítési protokollok Vonalkód összehasonlítás Kriptográfia Mágneses kapcsolat Merkle aláírása ed2k URNA