Kriptografi alanında, PBKDF1 ve PBKDF2 (Password-Based Key Derivation Function 2) olarak bilinen anahtar türetme fonksiyonları şifrelenmiş anahtarları kaba kuvvet saldırılarına karşı güçlendirmek amacıyla geliştirilmiştir.
PBKDF2, RSA laboratuvarı'na ait Açık Anahtarlı Şifreleme Standartları bünyesinde yer almaktadır. Spesifik olarak, PKCS #5 v2.0 adıyla bilinmektedir ve IETF tarafından yayınlanmıştır RFC 2898.1 Öncüsü olan PBKDF1 sadece 160 bit uzunluğunda anahtarlar üretebildiği için geliştirilmiştir.2 2017'de yayınlanan RFC 8018, parola özeti (password hashing) için PBKDF2'yi önermektedir.3
PBKDF2, verilen bir parola ve tuzu, sözde-rastgele bir fonksiyondan (özet-tabanlı mesaj doğrulama kodu (HMAC) gibi) birçok kez peş peşe geçirerek, kriptografik anahtar olarak kullanılabilecek bir türetilmiş anahtar üretir. Bu sırada harcanan bilgisayar gücü, parola kırma işlemini çok daha zor hale getirmektedir. Buna anahtar esnetme de denmektedir.
2000 yılında bu standart yazıldığında, önerilen iterasyon sayısı 1000 olarak belirtilmiştir ancak işlemcilerin gücü arttıkça iterasyon sayısının da arttırılması planlanmıştır. 2005 yılında, bir Kerberos standartı 4096 iterasyon önermiştir.4 Apple iOS 3 için 2000 ve iOS 4 için iterasyon kullandığını duyurmuştur.5 LastPass ise 2011 yılında JavaScript istemcileri için 5000 ve sunucu-tarafı için iterasyon kullandığını belirtmiştir.6
Parolalara tuz eklemek, ataklar sırasında önceden hesaplanmış özetlerin (hash değerlerinin) kullanılmasının (gökkuşağı tabloları) önüne geçer. Bu sayede, şifrelerin hepsi aynı anda değil test edilememekte; bunun yerine, teker teker test edilmesi gerekmektedir. Bu standartta, tuz uzunluğu olarak en az 64 bit önerilmektedir.7 Birleşmiş Devletler Standart ve Teknoloji Enstitüsü ise tuz uzunluğu olarak 128 bit önermektedir.8
PBKDF2 anahtar türetim fonksiyonunun 5 parametresi bulunmaktadır:
DK = PBKDF2(PRF, Password, Salt, c, dkLen)
Türetilmiş anahtar DK'nın, hLen uzunluğundaki her bloğu
(T<sub>i</sub>) aşağıdaki şekilde hesaplanır (||
konkatinasyon
işlemini temsil etmektedir):
DK = T
<sub>1
</sub> || T
<sub>2
</sub> || ... || T
<sub>dklen/hlen
</sub>
T
<sub>i
</sub> = F(Password, Salt, c, i)
F fonksiyonu, c iterasyon boyunca zincirlenerek uygulanmış PRF işleminin xor (^) edilmiş halidir. PRF fonksiyonunun ilk iterasyonunda Password anahtar olarak kullanılır ve 32-bit big-endian olarak kodlanmış i ile konkatine edilmiş olan Salt tuz olarak kullanılır. Bundan sonraki iterasyonlarda ise Password hala anahtar olarak kullanılmaya devam edilir fakat tuz olarak PRF fonskiyonunun bir önceki çıktısı kullanılır. F fonksiyonunun formal olarak tanımı aşağıda verilmiştir:
F(Password, Salt, c, i) = U
<sub>1
</sub> ^ U
<sub>2
</sub> ^ ... ^ U
<sub>c
</sub>
U
<sub>1
</sub> = PRF(Password, Salt || INT_32_BE(i))
U
<sub>2
</sub> = PRF(Password, U
<sub>1
</sub>)
...
U
<sub>c
</sub> = PRF(Password, U
<sub>c-1
</sub>)
Örneğin, WPA2 aşağıdaki parametreleri kullanmaktadır:
DK = PBKDF2(HMAC−SHA1, passphrase, ssid, 4096, 256)
PBKDF2, sözde-rastgele fonksiyon olarak HMAC kullandığında, ilginç bir özelliğe sahiptir: İstenilen miktarda çakışan parola çiftleri kolayca oluşturulabilmektedir.9 Eğer verilen parola, kullanılan HMAC fonksiyonundaki blok boyutundan uzunsa, parola ilk önce bir özet (İhash) fonksiyonundan geçirilir ve parola yerine bu değer kullanılır. Örneğin, aşağıdaki parola çok uzundur:
plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd
Bundan dolayı, (örneğin HMAC-SHA1 kullanırken) aşağıdaki gibi SHA-1 fonksiyonundan geçirilir:
65426b585154667542717027635463617226672a
Bu değer ASCII olarak aşağıdaki gibi ifade edilebilir:
eBkXQTfuBqp'cTcar&g*
Bu demektir ki tuzdan ve iterasyonlardan bağımsız olarak PBKDF2-HMAC-SHA1 aşağıdaki parolalar için aynı anahtarı üretecektir:
Örneğin, aşağıdaki parametreler kullanıldığında:
Aşağıdaki fonksiyon çağrıları:
PBKDF2-HMAC-SHA1("plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd", ...)
PBKDF2-HMAC-SHA1("eBkXQTfuBqp'cTcar&g*", ...)
aynı türetilmiş anahtarı üretecektir
(17EB4014C8C461C300E9B61518B9A18B
). Ancak türetilmiş anahtarlardaki bu
çakışma bir güvenlik açığına sebep vermemektedir, çünkü parolanın
özetini (hash değerini) üretmek için parolanın orijinalinin hala
bilinmesi gerekmektedir.10 Çakışmaların varlığının incelenmesi sadece
bir merak ürünüdür.
PBKDF2'nin bir zayıflığı, hesaplama zamanını uzatmak için iterasyon sayısını ayarlanabilmesine rağmen, yine de küçük bir devre ve az miktarda RAM ile bu işlem yapılabilmektedir. Bu da PBKDF2'yi uygulamaya özel tümleşik devre veya grafik işlemci ünitesi kullanan kaba kuvvet saldırılana karşı zayıf kılmaktadır.11 bcrypt parola özetleme fonksiyonu daha fazla miktarda RAM gerektirmektedir ve bu tarz ataklara karşı biraz daha güvenlidir.12 Daha modern bir anahtar türetme fonksiyonu olan scrypt ise istenildiği kadar çok hafıza gerektirdiğinden, bu tarz ataklara karşı daha da güvenlidir.13
2013 yılında, daha dayanıklı yöntemlerin geliştirilmesi için bir Parola Özetleme Yarışması düzenlenmiştir. 20 Temmuz 2015 tarihinde Argon2 bu yarışmayı kazanmıştır, ancak diğer 4 katılımcıya da teselli ödülü verilmiştir: Catena, Lyra2, yescrypt ve Makwa.14
Orijinal kaynak: pbkdf2. Creative Commons Atıf-BenzerPaylaşım Lisansı ile paylaşılmıştır.
Ne Demek sitesindeki bilgiler kullanıcılar vasıtasıyla veya otomatik oluşturulmuştur. Buradaki bilgilerin doğru olduğu garanti edilmez. Düzeltilmesi gereken bilgi olduğunu düşünüyorsanız bizimle iletişime geçiniz. Her türlü görüş, destek ve önerileriniz için iletisim@nedemek.page