AES GCM พร้อมการทำซ้ำ PBKDF2 100k ยังคงใช้ได้ในปี 2022 หรือไม่

การใช้ AES GCM กับ PBKDF2 และการทำซ้ำ 100,000 ครั้งยังคงถือว่าปลอดภัยในปี 2022 หรือไม่

ในรูปแบบภัยคุกคามของเรา หากเราเพิกเฉยต่อความเสี่ยงที่เกี่ยวข้องกับควอนตัมคอมพิวติ้ง จะปลอดภัยหรือไม่

นี่คือตัวอย่างการใช้งาน Python:

นำเข้า Crypto.Random, Crypto.Protocol.KDF, Crypto.Cipher.AES
plaintext = b"สวัสดีชาวโลก สวัสดีชาวโลก สวัสดีชาวโลก สวัสดีชาวโลก"
รหัสผ่าน = b"ลวดเย็บแบตเตอรี่ม้าที่ถูกต้อง"
nonce = Crypto.Random.new().อ่าน(16)
คีย์ = Crypto.Protocol.KDF.PBKDF2(รหัสผ่าน, nonce, count=100000)
การเข้ารหัส = Crypto.Cipher.AES.new (คีย์, Crypto.Cipher.AES.MODE_GCM, nonce=nonce, mac_len=16)
ciphertext = (ไม่มี,) + cipher.encrypt_and_digest(ข้อความธรรมดา) # nonce | ข้อความเข้ารหัส | แท็ก
พิมพ์ (ciphertext)

หมายเหตุ: ใช้เหมือนกัน ไม่เคย สำหรับ PBKDF2 และ AES.ใหม่(...) ดูเหมือนจะไม่เป็นปัญหาหากเราไม่เคยใช้สิ่งนี้ซ้ำ ไม่เคย สำหรับการเข้ารหัสในอนาคต โปรดดูที่ การใช้เกลือ PBKDF2 ซ้ำสำหรับ AES/GCM เป็น IV: อันตรายไหม

ขึ้นอยู่กับความแข็งแกร่งของรหัสผ่านทั้งหมด PBKDF2 100,000 รอบสำหรับรหัสผ่านที่มีแฮชที่กำหนดจะเพิ่มเทียบเท่ากับ $\log_2(100000) \ประมาณ 16.6$ บิตของเอนโทรปีเมื่อเทียบกับรอบเดียวของแฮชนั้น หากรหัสผ่านนั้นแข็งแกร่งมากอยู่แล้ว คุณก็ทำไม่ได้เช่นกัน ความต้องการ PBKDF2. จุดประสงค์เดียวของ KDF ที่ช้าคือการปรับปรุงความปลอดภัยของรหัสผ่านที่มีความแข็งแกร่งเล็กน้อย หากรหัสผ่านของคุณมีเพียงเอนโทรปี 64 บิต ดังนั้นการวนซ้ำ 1,000,000 ครั้งอาจทำให้ผู้โจมตีเข้าถึงไม่ได้ด้วยทรัพย์สิน \$1M เนื่องจาก 64 + 16.6 = 80.6 บิต ซึ่งน่าจะแพงกว่า \ ทำลาย 1 ล้านเหรียญ

ควรใช้ KDF ที่มีฮาร์ดหน่วยความจำ นี่ไม่ใช่เพราะ PBKDF2 เสีย ต่อวินาทีแต่เป็นเพราะผู้โจมตีสามารถเพิ่มขนาดการโจมตีได้ง่ายกว่าเนื่องจากแฮชให้ยืมตัวไปสู่ความเท่าเทียมอย่างมาก