forum.opennet.ru

Составление сообщения

Исходное сообщение

"Инициатива по разработке новых методов хэширования паролей"
Отправлено opennews, 16-Фев-13 23:23

В рамках конкурса Password Hashing Competition (https://password-hashing.net/) (PHC) предпринята попытка выявления новых схем хэширования паролей с целью стимулирования задействования надёжных схем защиты паролей. Текущее состояние (http://www.openwall.com/presentations/Passwords12-The-Future... в области защиты паролей оценивается как неприемлемое - web-сервисы зачастую хранят пароли пользователей в открытом виде или применяют ненадёжные методы хэширования, такие как MD5 или SHA-1, для которых разработаны эффективные методы подбора паролей.

Из стандартов формирования ключей на основе паролей доступен только PBKDF2 (http://ru.wikipedia.org/wiki/PBKDF2) (PKCS#5, NIST SP 800-132), а из альтернативных реализаций выделились только bcrypt (http://en.wikipedia.org/wiki/Bcrypt) и scrypt (http://www.tarsnap.com/scrypt.html). В сообществе витают идеи по созданию новых методов хэширования, но они имеют разрозненный и случайных характер. Конкурс PHC призван увлечь заинтересованных лиц и придать их работам востребованный и осмысленный характер.

Методы проведения конкурса построены на основе принципов (http://competitions.cr.yp.to/), применяемых в таких криптографических конкурсах, как AES, eSTREAM и SHA-3. Работы для участия будут приниматься до 31 января 2014 года, после чего начнётся этап анализа предложенных работ и выявления наиболее оптимальных решений. В третьем квартале 2014 года будут объявлены финалисты из которых до второго квартала 2015 года планируется выделить одного или нескольких победителей.

Из технических требований (https://password-hashing.net/call.html) к выставляемым на конкурс работам отмечается как минимум поддержка хэширования паролей размером от 0 до 128 символов, использование 16-байтового salt и наличие возможности регулирования параметров работы алгоритма с точки зрения скорости работы и размера хэша. Эталонные реализации должны быть подготовлены на языке C или C++, допускается использование стандартных функций библиотеки libcrypto (например, реализаций AES или SHA-256). Методы не должны покрываться запатентованными технологиями и должны распространяться без ограничений и на условиях не требующих выплаты отчислений.

В качестве критериев оценки отмечается:

-  Безопасность: стойкость к коллизиям, случайно выглядящий вывод, невозможность обратного преобразования, невозможность получения сведений о характере пароля через анализ хэша, противостояние методам перебора, трудность распараллеливания подбора, стойкость к акселерации подбора с использованием ASIC, FPGA и GPU;
-  Простота: общая ясность схемы, простота реализации (с позиции кодирования, тестирования, отладки и интеграции), минимум привязки к внешним примитивам или конструкциям;
-  Функциональность: эффективность с позиции тюнинга параметров работы, возможность изменения параметров (скорость и размер) для существующего хэша без наличия пароля.
URL: https://password-hashing.net
Новость: http://www.opennet.ru/opennews/art.shtml?num=36118

Исходное сообщение
"Инициатива по разработке новых методов хэширования паролей" Отправлено opennews, 16-Фев-13 23:23
В рамках конкурса Password Hashing Competition (https://password-hashing.net/) (PHC) предпринята попытка выявления новых схем хэширования паролей с целью стимулирования задействования надёжных схем защиты паролей. Текущее состояние (http://www.openwall.com/presentations/Passwords12-The-Future... в области защиты паролей оценивается как неприемлемое - web-сервисы зачастую хранят пароли пользователей в открытом виде или применяют ненадёжные методы хэширования, такие как MD5 или SHA-1, для которых разработаны эффективные методы подбора паролей. Из стандартов формирования ключей на основе паролей доступен только PBKDF2 (http://ru.wikipedia.org/wiki/PBKDF2) (PKCS#5, NIST SP 800-132), а из альтернативных реализаций выделились только bcrypt (http://en.wikipedia.org/wiki/Bcrypt) и scrypt (http://www.tarsnap.com/scrypt.html). В сообществе витают идеи по созданию новых методов хэширования, но они имеют разрозненный и случайных характер. Конкурс PHC призван увлечь заинтересованных лиц и придать их работам востребованный и осмысленный характер. Методы проведения конкурса построены на основе принципов (http://competitions.cr.yp.to/), применяемых в таких криптографических конкурсах, как AES, eSTREAM и SHA-3. Работы для участия будут приниматься до 31 января 2014 года, после чего начнётся этап анализа предложенных работ и выявления наиболее оптимальных решений. В третьем квартале 2014 года будут объявлены финалисты из которых до второго квартала 2015 года планируется выделить одного или нескольких победителей. Из технических требований (https://password-hashing.net/call.html) к выставляемым на конкурс работам отмечается как минимум поддержка хэширования паролей размером от 0 до 128 символов, использование 16-байтового salt и наличие возможности регулирования параметров работы алгоритма с точки зрения скорости работы и размера хэша. Эталонные реализации должны быть подготовлены на языке C или C++, допускается использование стандартных функций библиотеки libcrypto (например, реализаций AES или SHA-256). Методы не должны покрываться запатентованными технологиями и должны распространяться без ограничений и на условиях не требующих выплаты отчислений. В качестве критериев оценки отмечается: - Безопасность: стойкость к коллизиям, случайно выглядящий вывод, невозможность обратного преобразования, невозможность получения сведений о характере пароля через анализ хэша, противостояние методам перебора, трудность распараллеливания подбора, стойкость к акселерации подбора с использованием ASIC, FPGA и GPU; - Простота: общая ясность схемы, простота реализации (с позиции кодирования, тестирования, отладки и интеграции), минимум привязки к внешним примитивам или конструкциям; - Функциональность: эффективность с позиции тюнинга параметров работы, возможность изменения параметров (скорость и размер) для существующего хэша без наличия пароля. URL: https://password-hashing.net Новость: http://www.opennet.ru/opennews/art.shtml?num=36118

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В рамках конкурса Password Hashing Competition (https://password-hashing.net/) (PHC) 
> предпринята попытка выявления новых схем хэширования паролей с целью стимулирования задействования 
> надёжных схем защиты паролей. Текущее состояние (http://www.openwall.com/presentations/Passwords12-The-Future-Of-Hashing/) 
> в области защиты паролей оценивается как неприемлемое - web-сервисы зачастую хранят 
> пароли пользователей в открытом виде или применяют ненадёжные методы хэширования, такие 
> как MD5 или SHA-1, для которых разработаны эффективные методы подбора паролей.

> Из стандартов формирования ключей на основе паролей доступен только PBKDF2 (http://ru.wikipedia.org/wiki/PBKDF2) 
> (PKCS#5, NIST SP 800-132), а из альтернативных реализаций выделились только bcrypt 
> (http://en.wikipedia.org/wiki/Bcrypt) и scrypt (http://www.tarsnap.com/scrypt.html). 
> В сообществе витают идеи по созданию новых методов хэширования, но они 
> имеют разрозненный и случайных характер. Конкурс PHC призван увлечь заинтересованных лиц 
> и придать их работам востребованный и осмысленный характер.

> Методы проведения конкурса построены на основе принципов (http://competitions.cr.yp.to/), 
> применяемых в таких криптографических конкурсах, как AES, eSTREAM и SHA-3. Работы 
> для участия будут приниматься до 31 января 2014 года, после чего 
> начнётся этап анализа предложенных работ и выявления наиболее оптимальных решений. В 
> третьем квартале 2014 года будут объявлены финалисты из которых до второго 
> квартала 2015 года планируется выделить одного или нескольких победителей.

> Из технических требований (https://password-hashing.net/call.html) к выставляемым 
> на конкурс работам отмечается как минимум поддержка хэширования паролей размером от 
> 0 до 128 символов, использование 16-байтового salt и наличие возможности регулирования 
> параметров работы алгоритма с точки зрения скорости работы и размера хэша. 
> Эталонные реализации должны быть подготовлены на языке C или C++, допускается 
> использование стандартных функций библиотеки libcrypto (например, реализаций AES или 
> SHA-256). Методы не должны покрываться запатентованными технологиями и должны распространяться 
> без ограничений и на условиях не требующих выплаты отчислений.

> В качестве критериев оценки отмечается:

> -  Безопасность: стойкость к коллизиям, случайно выглядящий вывод, невозможность обратного 
> преобразования, невозможность получения сведений о характере пароля через анализ хэша, 
> противостояние методам перебора, трудность распараллеливания подбора, стойкость к акселерации 
> подбора с использованием ASIC, FPGA и GPU; 
> -  Простота: общая ясность схемы, простота реализации (с позиции кодирования, тестирования, 
> отладки и интеграции), минимум привязки к внешним примитивам или конструкциям;

> -  Функциональность: эффективность с позиции тюнинга параметров работы, возможность изменения 
> параметров (скорость и размер) для существующего хэша без наличия пароля.

> URL: https://password-hashing.net 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=36118

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру