我想知道,对于使用大型GPU系统的攻击者来说,新的argon2哈希(密码哈希竞赛的获胜者)可以放弃bcrypt或PBKDF2多少安全余量。

实际上,如果我在服务器上运行了一秒钟的密钥导出功能,那么运行argon2一秒钟(例如,使用2GB的内存,否则为默认设置)。

基于这些方案之间的密码差异,我正在寻找更多理论上的答案/猜测。

#1 楼

提出一个具体的数字很难。实际上,这三种选择都使您脱离了攻击者强行使用的绝对最坏密码之外的所有东西。由于增加了内存要求。具有数千个内核的GPU将需要(但不需要)大量的内存,因此这些内核中的大多数将需要保持空闲状态。 FPGA和ASIC由于必须合并大量内存而变得更加昂贵,因此,您实际上只是在迫使攻击者以相当多的美元交易来获得等效的并行性。

argon2 over scrypt(如果我错了,请纠正我):


提高了对时间记忆权衡攻击(TMTO)的抵抗力,由于依赖于秘密的内存访问模式而容易受到缓存定时攻击的攻击),并且
能够独立增加CPU和内存需求。


评论


$ \ begingroup $
“攻击者只需在问题上抛出双核就可以将内存减半”-我很确定这对于scrypt来说不成立。Argon2的优点:更易于配置和使用,更好的TMTO权衡,更好侧通道电阻,对各种平台的更好适应性,更精细的配置(轻松地(线性地)增加时间,而不会造成内存损失,反之亦然(尽管在这种情况下,时间也会线性增长))
$ \ endgroup $
– SEJPM♦
15年11月23日在22:09

$ \ begingroup $
@otus:您是对的;自从我阅读scrypt论文以来已经有一段时间了。我将更新答案。
$ \ endgroup $
–斯蒂芬·托瑟(Stephen Touset)
15年11月23日在23:22

$ \ begingroup $
@SEJPM:即使cperciva指出了TMTO,尽管它显然具有恒定的权衡因子(我相信arg2可以避免;我必须确认)。
$ \ endgroup $
–斯蒂芬·托瑟(Stephen Touset)
15年11月23日在23:22

$ \ begingroup $
@Stephen:谢谢,但是您知道argon2的TMTO因子(大约)吗?为了估算argon2优于bcrypt的优势,那将是一个真正有趣的事实。
$ \ endgroup $
– Azren
15年11月24日在8:07

$ \ begingroup $
对于像我一样想知道的每个人,TMTO的意思是“时间记忆权衡攻击”。
$ \ endgroup $
–塔德杰
17年4月5日在7:05