Balloon哈希纸会否淘汰Argon2？

#1 楼

最近的Balloon哈希纸和对Argon2的攻击是否有效地抵消了密码哈希竞争的结果？


否。
/> PHC的主要结果不是单个新的高级密码哈希函数（即Argon2），而是密码哈希研究的巨大进步。我们了解比赛后的密码哈希以及比以前更好的密码哈希。这是最重要和最主要的结果。
例如，针对时间内存折衷（Catena）的新安全性降低以及工作负载委派（Makwa）等全新概念。

现在实际的攻击。攻击似乎将一遍和两遍Argon2i（从v1.2.1开始）的时间记忆乘积降低了5（或更小）倍。尽管这当然不好，但它也不会完全破坏Argon2i。因此，您仍然可以使用它，但要记住，可能需要权衡取舍。发布了非常多的论文，对Argon2规范进行了更新，将5.2节添加到了安全分析中，他们记录了攻击的TL; DR以及如何缓解版本1.3中的攻击。使用Argon2 v1.3，您只需要避免单次通过Argon2i，就可以避免两次通过，更多的攻击不再适用。 ，尤其是避免诸如缓存定时攻击之类的旁通道攻击。但是，如果您的威胁模型不包括在进行密码哈希处理时坐在您计算机上的攻击者，则无论如何都应使用Argon2d，它使用依赖于数据的操作（类似于scrypt），并且不受这些近期攻击的影响。
当然，最后的缓解方法是使用其他密码哈希函数。 PHC的特殊认可（即Lyra2，Catena，yescrypt和Makwa）或旧版本（如scrypt和bcrypt）。当然，您应该注意的是，虽然旧的可能已经受到了更多的审查，但是它们有各自的弱点（例如，bcrypt对FPGA的帮助不大，而scrypt也有一些弱点，并且不能很好地防御侧信道攻击


在对该问题的评论中还提到了另外两篇论文。 Alwen和Blocki的“高效计算独立于数据的内存硬函数”，为各种密码哈希构造（包括Argon2i，Catena和Balloon Hashing）提供了时间记忆积的渐近边界。
其他论文提到，Alwen和Blocki的“走向对Argon2i和Balloon Hashing的实际攻击”对前一论文的结果进行了改进，重点是旧版本和新版本的Argon2i以及Balloon Hashing，再次报告了这两种方案的成功（实例化）攻击并注意需要10次通过才能重新获得Argon2i的（完全）安全性。

TL; DR：如果您不介意旁通道攻击并使用高通计数（如果您愿意的话，例如10遍）Argon2i。

#2 楼

您可能应该使用可证明的安全方案，而BH就是这样的方案。它们不仅提供了内存复杂性的证明，而且还展示了对Argon的攻击，使攻击速度提高了4倍。赢得比赛不应该单凭Argon成为标准，尤其是考虑到Balloon出现在PHC之后。