Score:1

เหมาะสมหรือไม่ที่จะใช้ DRBG และ PBKDF ร่วมกัน

ธง pe

ฉันต้องการสร้างตัวเลขสุ่มโดยใช้ DRBG โดยมีดังต่อไปนี้: แหล่งที่มาของเอนโทรปี -> DRBG -> PBKDF

การเพิ่ม PBKDF ซ้ำซ้อน ?

Score:3
ธง si

PBKDF คือ ใช้รหัสผ่าน ฟังก์ชันการได้มาของคีย์ ผลลัพธ์ของ DRBG ไม่ใช่รหัสผ่าน

เอาต์พุตของ DRBG สามารถใช้เป็นอินพุตไปยังฟังก์ชันการหาค่าคีย์ได้ หาก (และเฉพาะในกรณีที่) DRBG นั้นมีความปลอดภัยในการเข้ารหัส (หรือที่เรียกว่า CSPRNG)ตัวอย่างเช่น RSA ต้องการการเลือกจำนวนเฉพาะขนาดใหญ่สองตัวแบบสุ่ม และใช้ CSPRNG เพื่อจัดหาข้อมูลสำหรับ RSA KDF

บ่อยครั้งที่การใช้ KDF มาตรฐานเพื่อสร้างคีย์สมมาตรตามเอาต์พุตของ DRBG มักไม่มีประโยชน์ หาก DRBG ไม่ใช่ CSPRNG แสดงว่าเอาต์พุตไม่ปลอดภัย ถ้าเป็นเช่นนั้น KDF ก็ไม่จำเป็น สามารถสร้างบิตเพิ่มได้! ข้อยกเว้นคือกับแบบแผน "ratcheting" ซึ่งใช้ KDF กับคีย์ก่อนหน้าและข้อมูลอื่นบางอย่างเพื่อรับคีย์คีย์ถัดไป คีย์แรกในลำดับอาจถูกสร้างขึ้นโดยใช้ CSPRNG

Maarten Bodewes avatar
in flag
ฉันเห็นด้วยเป็นส่วนใหญ่ แต่การสร้างความลับหลัก (โดยใช้ DRBG) แล้วรับคีย์เพิ่มเติมโดยใช้ KBKDF จะเป็นแนวทางปฏิบัติที่ดี
SAI Peregrinus avatar
si flag
เห็นด้วย ฉันพยายามทำสิ่งนี้ด้วยย่อหน้าสุดท้าย: โดยทั่วไปไม่จำเป็น แต่อาจมีประโยชน์โดยเฉพาะอย่างยิ่งสำหรับแผนวงล้อ
Maarten Bodewes avatar
in flag
ฉันยังเห็นว่ามีประโยชน์หากมีหลายวิธีที่สามารถสร้างความลับหลักได้ ไม่ใช่แค่การสร้างโดยใช้ PRNG
Score:0
ธง kr

ฉันถือว่าคุณใช้ DRBG ที่ปลอดภัย

หากคุณมีค่าเอนโทรปีน้อย เช่น 8 บิตต่อคำขอ ผลลัพธ์ของ DRBG จะสามารถคาดเดาได้ง่าย การรู้ค่าตัวเลขก่อนหน้าไม่กี่ค่าสามารถทำนายตัวเลขเพิ่มเติมได้

การใช้ PBKDF ไม่ได้ช่วยอะไร และสำหรับ PBKDF (ถ้าคุณหมายถึง PBKDF2, Argon, Makwa, scrypt เป็นต้น) โดยปกติคุณจะต้องใช้เลขสุ่มเพิ่มเติม หมายความว่าคุณจะต้องมีเอนโทรปีเพิ่มเติม ดีกว่าสำหรับเราเอนโทรปีใน DRBG โดยตรง

หาก DRBG มีความปลอดภัยและยอมรับอินพุต/เมล็ดพันธุ์ที่มีความยาวเพียงพอ ให้รวบรวมเอนโทรปีที่เพียงพอ เช่น 128 บิต และใช้ DRBG แท้

Andy avatar
pe flag
ใช่ แหล่งที่มาของเอนโทรปีมาจาก TRNG และใช้ DRBG ที่ปลอดภัย
kr flag
@Andy: จากนั้นเพียงรวบรวมเอนโทรปีที่เพียงพอ (ขึ้นอยู่กับสิ่งที่คุณพิจารณาว่าปลอดภัยสำหรับวัตถุประสงค์ของคุณ เช่น 128 บิต) และใช้ DRBG บริสุทธิ์

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา