argon2 ne demek?

Argon2, Temmuz 2015'te Parola Özetleme Yarışmasının galibi olarak seçilen anahtar türetme fonksiyonudur.¹² Lüksemburg Üniversitesi'nden Alex Biryukov, Daniel Dinu ve Dmitry Khovratovich tarafından tasarlanmıştır.³ Argon2'nin referans uygulaması, CC0 lisansı (yani kamu malı) veya Apache License 2.0 altında yayınlanmış ve üç ilgili sürüm sağlamıştır:

• Argon2d, GPU kırılma saldırılarına karşı direnci en üst düzeye çıkarır. Argon2d, bellek dizisine, parola bağımlı bir sırayla erişir; bu da zaman-bellek takası (TMTO) saldırılarının olasılığını azaltır, ancak olası yan kanal saldırıları sunar.
• Argon2i, yan kanal saldırılarına dayanacak şekilde optimize edilmiştir. Bellek dizisine parola bağımsız bir sırada erişir.
• Argon2id hibrit bir versiyondur. İlk bellek geçişi için Argon2i yaklaşımını ve sonraki geçişler için Argon2d yaklaşımını izler. İnternet taslağı⁴, diğer iki moddan birinin tercih edilmesini gerektiren durumlar olması haricinde Argon2id kullanılmasını önerir.

Üç modun her biri, aşağıda verilen üç parametre ile tanımlama yapmaya izin verir.

• çalışma süresi
• hafıza gerekliliği
• paralellik derecesi

Kriptanaliz

Argon2d'ye uygulanabilecek genel bir kripto analizi olmamasına rağmen, Argon2i fonksiyonuna karşı yayınlanan iki saldırı vardır. İlk saldırı sadece Argon2i'nin eski sürümüne uygulanabilirken, ikincisi en son sürüme kadar uzatılmıştır (1.3)⁵

İlk saldırı, zaman cezası⁶ olmadan, istenen alanın çeyreği ile beşte biri arasında kullanılması ile, tek geçişli Argon2i fonksiyonunu hesaplamanın ve yine zaman cezası olmadan, sadece / < **/2.71 alanı kullanarak birçok geçişli Argon2i hesaplamanın mümkün olduğunu göstermektedir. Argon2 yazarlarına göre, bu saldırı vektörü 1.3 sürümünde düzeltilmiştir⁷.

İkinci saldırı, Argon2i'nin, seçilen tüm parametreler için, örneğin; **(alan maliyeti), (zaman maliyeti), ve =∗⁸ olan izlek sayısı, karmaşıklığı O(^7/4 log()) olan bir algoritma ile hesaplanabildiğini göstermektedir.

Argon2 yazarları, Argon2i üç veya daha fazla geçişle kullanılırsa bu saldırının etkili olmadığını iddia eder.⁹ Bununla birlikte, Joël Alwen ve Jeremiah Blocki saldırıyı iyileştirmiş ve saldırının başarısız olması için Argon2i 1.3'ün bellek üzerinde 10'dan fazla geçişe ihtiyaç duyduğunu göstermiştir.¹⁰

Algoritma

<span style="color:blue;">Function</span> Argon2
<span style="color:blue;">Inputs:</span>
password (P):       Bytes (0..2^32-1)    <span style="color:green;">Password (or message) to be hashed</span>
salt (S):           Bytes (8..2^32-1)    <span style="color:green;">Salt (16 bytes recommended for password hashing)</span>
parallelism (p):    Number (1..2^24-1)   <span style="color:green;">Degree of parallelism (i.e. number of threads)</span>
tagLength (T):      Number (4..2^32-1)   <span style="color:green;">Desired number of returned bytes</span>
memorySizeKB (m):   Number (8p..2^32-1)  <span style="color:green;">Amount of memory (in [./https://en.wikipedia.org/wiki/Kibibyte `` kibibytes]) to use</span>
iterations (t):     Number (1..2^32-1)   <span style="color:green;">Number of iterations to perform</span>
version (v):        Number (0x13)      <span style="color:green;">The current version is 0x13 (19 decimal)</span>
key (K):            Bytes (0..2^32-1)    <span style="color:green;">Optional key (Errata: PDF says 0..32 bytes, RFC says 0..2^32 bytes)</span>
associatedData (X): Bytes (0..2^32-1)    <span style="color:green;">Optional arbitrary extra data</span>
hashType (y):       Number (0=Argon2d, 1=Argon2i, 2=Argon2id)
<span style="color:blue;">Output:</span>
tag:                Bytes (tagLength)   <span style="color:green;">The resulting generated bytes, tagLength bytes long</span>

   <span style="color:green;">Generate`` ``initial`` ``64-byte`` ``block`` ``H_0.</span>
<span style="color:green;">All the input parameters are concatenated and input as a source of additional entropy.
Errata: RFC says H_0 is 64-bits; PDF says H_0 is 64-bytes.
Errata: RFC says the Hash is H^, the PDF says it's ℋ (but doesn't document what ℋ is). It's actually Blake2b.
Variable length items are prepended with their length as 32-bit little-endian integers.</span>
buffer ← parallelism ∥ tagLength ∥ memorySizeKB ∥ iterations ∥ version ∥ hashType
∥ Length(password)       ∥ Password
∥ Length(salt)           ∥ salt
∥ Length(key)            ∥ key
∥ Length(associatedData) ∥ associatedData
H_0 ← Blake2b(buffer, 64) <span style="color:green;">//default`` ``hash`` ``size`` ``of`` ``Blake2b`` ``is`` ``64-bytes</span>

   <span style="color:green;">Calculate number of 1 KB blocks by rounding down memorySizeKB to the nearest multiple of 4*parallelism [./https://en.wikipedia.org/wiki/Kibibyte `` kibibytes]</span>
blockCount ← Floor(memorySizeKB, 4*parallelism)

   <span style="color:green;">Allocate two-dimensional array of 1 KiB blocks (parallelism rows x columnCount columns)</span>
columnCount ← blockCount / parallelism;   <span style="color:green;">//In the RFC, columnCount is referred to as q</span>

   <span style="color:green;">Compute the first and second block (i.e. column zero and one ) of each lane (i.e. row)</span>
for i ← 0 to parallelism-1 do <span style="color:green;">for each row</span>
B_i[0] ← Hash(H_0 ∥ 0 ∥ i, 1024) <span style="color:green;">//Generate`` ``a`` ``1024-byte`` ``digest</span>
B_i[1] ← Hash(H_0 ∥ 1 ∥ i, 1024) <span style="color:green;">//Generate`` ``a`` ``1024-byte`` ``digest</span>

   <span style="color:green;">Compute remaining columns of each lane</span>
for i ← 0 to parallelism-1 do <span style="color:green;">//for each row</span>
for j ← 2 to columnCount-1 do <span style="color:green;">//for each subsequent column</span>
<span style="color:green;">//i' and j' indexes depend if it's Argon2i, Argon2d, or Argon2id (See section 3.4)</span>
i′, j′ ← GetBlockIndexes(i, j)  <span style="color:green;">//the GetBlockIndexes function is not defined</span>
B_i[j] = G(B_i[j-1], B_i′[j′]) <span style="color:green;">//the G hash function is not defined</span>

   <span style="color:green;">Further passes when iterations > 1</span>
for nIteration ← 2 to iterations do
for i ← 0 to parallelism-1 do <span style="color:green;">for each row</span>
for j ← 0 to columnCount-1 do <span style="color:green;">//for each subsequent column</span>
<span style="color:green;">//i' and j' indexes depend if it's Argon2i, Argon2d, or Argon2id (See section 3.4)</span>
i′, j′ ← GetBlockIndexes(i, j)
if j == 0 then 
B_i[0] = G(B_i[columnCount-1], B_i′[j′])
else
B_i[j] = G(B_i[j-1], B_i′[j′])

   <span style="color:green;">Compute final block C as the XOR of the last column of each row</span>
C ← B_0[columnCount-1]
for i ← 1 to parallelism-1 do
C ← C xor B_i[columnCount-1]

   <span style="color:green;">Compute output tag</span>
return Hash(C, tagLength)

Değişken uzunluklu özet fonksiyonu

Argon2, 2³² byte uzunluğuna kadar özet üretebilen özet fonksiyonunu kullanır. Bu özet fonksiyonu dahili olarak Blake2 üzerine kuruludur.

<span style="color:blue;">Function</span> Hash(message, digestSize)
<span style="color:blue;">Inputs:</span>
message:         Bytes (0..2^32-1)     <span style="color:green;">Message to be hashed</span>
digestSize:      Integer (1..2^32)     <span style="color:green;">Desired number of bytes to be returned</span>
<span style="color:blue;">Output:</span>
digest:          Bytes (digestSize)   <span style="color:green;">The resulting generated bytes, digestSize bytes long</span>

   <span style="color:green;">Hash is a variable-length hash function, built using Blake2b, capable of generating
digests up to 2^32 bytes.</span>

   <span style="color:green;">If the requested digestSize is 64-bytes or lower, then we use Blake2b directly</span>
if (digestSize <= 64) then
return Blake2b(digestSize ∥ message, digestSize) <span style="color:green;">//concatenate 32-bit little endian digestSize with the message bytes</span>

   <span style="color:green;">For desired hashes over 64-bytes (e.g. 1024 bytes for Argon2 blocks),
we use Blake2b to generate twice the number of needed 64-byte blocks,
and then only use 32-bytes from each block</span>

   <span style="color:green;">Calculate the number of whole blocks (knowing we're only going to use 32-bytes from each)</span>
r ← Ceil(digestSize/32)-1;

   <span style="color:green;">Generate r whole blocks.</span>
<span style="color:green;">Initial block is generated from message</span>
V_1 ← Blake2b(digestSize ∥ message, 64);
<span style="color:green;">Subsequent blocks are generated from previous blocks</span>
for i ← 2 to r do
V_i ← Blake2b(V_i-1, 64)
<span style="color:green;">Generate the final (possibly partial) block</span>
partialBytesNeeded ← digestSize – 32*r;
V_r+1 ← Blake2b(V_r, partialBytesNeeded)

   <span style="color:green;">Concatenate the first 32-bytes of each block V_i
(except the possibly partial last block, which we take the whole thing)</span>
<span style="color:green;">Let A_i represent the lower 32-bytes of block V_i</span>
return A_1 ∥ A_2 ∥ ... ∥ A_r ∥ V_r+1

Kaynakça

<references group="" responsive=""> </references>

Dış bağlantılar

Orijinal kaynak: argon2. Creative Commons Atıf-BenzerPaylaşım Lisansı ile paylaşılmıştır.

Footnotes

1. ↩
2. ↩

3. Argon2: şifre karma ve diğer uygulamalar için hafızası zorlama fonksiyonu , Alex Biryukov, et al, 1 Ekim 2015 ↩

4. ↩
5. ↩
6. ↩
7. ↩
8. ↩
9. ↩
10. ↩

Kategoriler