PBKDF2

PBKDF2 (англ. Password-Based Key Derivation Function) — стандарт формування ключа на основі пароля. Є частиною PKCS #5 v2.0 (RFC 2898). Замінив PBKDF1, який обмежував довжину породжуваного ключа 160 бітами.

PBKDF2 використовує псевдовипадкову функцію для отримання ключів. Довжина ключа, що генерується — не обмежується (хоча ефективна потужність простору ключів може бути обмежена особливостями застосовуваної псевдовипадковою функції). Використання PBKDF2 рекомендовано для нових програм і продуктів. В якості псевдовипадкової може бути обрана криптографічна хеш-функція, шифр, HMAC.

Загальний вигляд виклику PBKDF2:

${\displaystyle DK=PBKDF2(PRF,P,S,c,dkLen)}$

Опції алгоритму:

• PRF — псевдовипадкова функція, з виходом довжини hLen.
• P — майстер-пароль.
• S — сіль (salt).
• c — кількість ітерацій, додатне ціле число.
• dkLen — бажана довжина ключа (не більше (2^32 — 1) * hLen).
• Вихідний параметр: DK — згенерований ключ довжини dkLen.

Хід обчислень:

1. l — кількість блоків довжини hLen в ключі (округлення вгору), r — кількість байт в останньому блоці:

${\displaystyle l=\lceil (dkLen/hLen)\rceil }$

${\displaystyle r=dkLen-(l-1)*hLen}$

2. Для кожного блоку застосувати функцію F з параметрами P — майстер пароль, S — сіль, c — кількість ітерацій, і номером блоку:

${\displaystyle T_{1}=F(P,S,c,1)}$

${\displaystyle T_{2}=F(P,S,c,2)}$

${\displaystyle ...}$

${\displaystyle T_{l}=F(P,S,c,l)}$

F визначена як операція xor (${\displaystyle \oplus }$) над першими c ітераціями функції PRF, застосованої до паролю P і об'єднання солі S і номера блоку, записаного як 4-байтове ціле з першим msb байтом.

${\displaystyle F(P,S,c,i)=U_{1}\oplus U_{2}\oplus ...\oplus U_{c}}$

${\displaystyle U_{1}=PRF(P,S||INT(i))}$

${\displaystyle U_{2}=PRF(P,U_{1})}$

${\displaystyle ...}$

${\displaystyle U_{c}=PRF(P,U_{c-1})}$

3. Об'єднання отриманих блоків становить ключ DK. Від останнього блоку береться r байт.

${\displaystyle DK=T_{1}||T_{2}||...||T_{l}<0..r-1>}$

Одним із завдань при створенні PBKDF2 було ускладнити перебір паролів. Завдяки множині зчеплених обчислень PRF швидкість генерації ключа є невисокою. Наприклад, для WPA-PSK з параметрами^[1]:

${\displaystyle DK=PBKDF2(HMAC-SHA1,passphrase,ssid,4096,256)}$

були досягнуті швидкості перебору ключів 70 одиниць в секунду для Intel Core2 і близько 1 тисячі на ПЛІС Virtex-4 FX60^[2]. Для порівняння, класичні функції хешування паролю LANMAN мають швидкість перебору близько сотень мільйонів варіантів в секунду^[3].

Використовується як перша і остання стадія в адаптивній криптографічній функції формування ключа на основі пароля scrypt. Дана функція була спеціально розроблена для додатків, де обчислення PBKDF2 виявляється занадто швидким.

• Wi-Fi Protected Access (WPA і WPA2)
• Microsoft Windows Data Protection API (DPAPI)^[4]
• Шифрування у форматі OpenDocument (OpenOffice.org)
• Схема шифрування AES у WinZip^[5][6]
• LastPass для хешування паролів^[7]
• 1Password для хешування паролів
• Apple iOS мобільна операційна система, для захисту користувача кодів і паролів доступу

• FileVault (macOS)^[8]
• FreeOTFE (Windows і КПК)
• LUKS — Unified Linux Key Setup (Linux)
• TrueCrypt (Windows, Linux, macOS)
• VeraCrypt (Windows, Linux, macOS)
• DiskCryptor (Windows)
• Cryptographic disk (NetBSD)
• GEOM ELI модуль для ОС FreeBSD
• Шифрування softraid з OpenBSD
• EncFS (Linux) з версії v1.5.0