Bcrypt - Wikiwand

bcrypt — адаптивная криптографическая хеш-функция формирования ключа, используемая для защищенного хранения паролей. Разработчики: Нильс Провос и David Mazières. Функция основана на шифре Blowfish, впервые представлена на USENIX в 1999 году^[1]. Для защиты от атак с помощью радужных таблиц bcrypt использует соль (salt); кроме того, функция является адаптивной, время её работы легко настраивается и её можно замедлить, чтобы усложнить атаку перебором.

Краткие факты Разработчики, Впервые опубликован ...

bcrypt
Разработчики	Нильс Провос и David Mazières
Впервые опубликован	1999
Число раундов	2ⁿ

Шифр Blowfish отличается от многих алгоритмов вычислительно сложной фазой подготовки ключей шифрования^[англ.].

Провос и Mazières воспользовались этой особенностью, но изменили алгоритм подготовки ключей, получив шифр «Eksblowfish» (expensive key schedule Blowfish). Количество раундов в подготовке ключей должно быть степенью двойки; конкретная степень может задаваться при использовании bcrypt.

Изначально реализовано в функции crypt в OpenBSD. Существуют реализации для Java, Python, Nim, C#, Ruby, Perl, PHP 5.3, Node.js, Go^[2] и некоторых других.

Remove ads

Алгоритм

Суммиров вкратце

Перспектива

Алгоритм bcrypt использует алгоритм настройки ключей из «Eksblowfish»:

EksBlowfishSetup(cost, salt, key)
    state  $\gets$  InitState()
    state  $\gets$  ExpandKey(state, salt, key)
    repeat (2^cost)
        state  $\gets$  ExpandKey(state, 0, key)
        state  $\gets$  ExpandKey(state, 0, salt)
    return state

Функция InitState соответствует оригинальной функции из шифра Blowfish; для заполнения массива P и S-box используется дробная часть числа $\pi$ .

Функция ExpandKey:

ExpandKey(state, salt, key)
    for(n = 1..18)
        P_n  $\gets$  key[32(n-1)..32n-1]  $\oplus$  P_n //treat the key as cyclic
    ctext  $\gets$  Encrypt(salt[0..63])
    P₁  $\gets$  ctext[0..31]
    P₂  $\gets$  ctext[32..63]
    for(n = 2..9)
        ctext  $\gets$  Encrypt(ctext  $\oplus$  salt[64(n-1)..64n-1]) //encrypt using the current key schedule and treat the salt as cyclic
        P_2n-1)  $\gets$  ctext[0..31]
        P_2n  $\gets$  ctext[32..63]
    for(i = 1..4)
        for(n = 0..127)
            ctext  $\gets$  Encrypt(ctext  $\oplus$  salt[64(n-1)..64n-1]) //as above
            S_i[2n]  $\gets$  ctext[0..31]
            S_i[2n+1]  $\gets$  ctext[32..63]
    return state

Для вычисления хеша bcrypt обрабатывает входные данные эквивалентно шифрованию 'eksblowfish(усиленный_ключ, input)':

bcrypt(cost, salt, key, input)
    state  $\gets$  EksBlowfishSetup(cost, salt, key)
    ctext  $\gets$  input
    repeat (64)
        ctext  $\gets$  EncryptECB(state, ctext) // шифрование стандартным Blowfish в режиме ECB
    return Concatenate(cost, salt, ctext)

В различных ОС (linux, OpenBSD), использующих алгоритм bcrypt в стандартной функции crypt (3), в качестве input подается константа «OrpheanBeholderScryDoubt»^[3].

Remove ads

Недостатки

bcrypt ограничен длинной пароля в 72 байта. Этот максимум получается из первой операции функции ExpandKey.

В 2024 году служба аутентификации Okta, Inc. объявила об уязвимости, связанной с объединением пароля после имени пользователя и пары, хешированной с помощью bcrypt, в результате чего пароль игнорировался для входа в систему с достаточно длинным именем пользователя.^[4]

bcrypt был разработан в 1999 году и был защищен от эффективного перебора на аппаратных средствах того времени. В настоящее время получили широкое распространение ПЛИС, в которых bcrypt реализуется эффективнее. В 2009 был создан алгоритм scrypt, требующий для своей работы значительный объем памяти (со случайным доступом), объем памяти настраивается^[5].

В сравнении с PBKDF2, алгоритм расширения ключа в bcrypt практически не исследовался криптографами^[6].

Remove ads

См. также

Ссылки

Remove ads

Примечания

Loading content...

Loading related searches...

Wikiwand - on

Seamless Wikipedia browsing. On steroids.

Remove ads