Исходное сообщение
"Выпуск yescrypt 1.0.0, новой схемы хеширования паролей" Отправлено solardiz, 18-Мрт-18 14:55
Это обсуждалось в PHC - нужен один или несколько победителей и/или вариантов алгоритма (для разных применений?) Многие были за один умеренно хороший, но зато универсальный вариант. Выбрали один алгоритм как победитель - Argon2 - хотя и у него уже на тот момент было два варианта (2d и 2i) и еще некоторые обсуждались (2ds, 2id - причем сейчас 2id рекомендуется авторами как основной). В некотором смысле это fail, но не всё так просто. С позиции исключительно такой, что алгоритм нужен один, PHC был не нужен. Можно было бы сказать что у нас уже есть хороший scrypt, а лучшее - враг хорошего. Но с другой стороны scrypt уже был далеко не единственным, это направление развивается с 1970-х годов, в нем есть недавние существенные достижения (особенно scrypt в 2009) и PHC дал существенные новые результаты (до PHC никто всерьез не занимался созданием и атаками на time-memory trade-off resistant схемы). Даже у одного алгоритма есть параметры, выбор которых не менее важен, чем выбор самого алгоритма. Отказ и от параметров вернул бы нас в 1980-е, то есть такой вариант по современным меркам не был бы даже хорошим. Что касается трех поддерживаемых в yescrypt алгоритмов: scrypt уже существовал и уже широко используется (так что мы не делаем хуже поддерживая с ним совместимость в том же дереве исходников), YESCRYPT_RW нами рекомендуется для внедрений именно yescrypt (и только в этом варианте поддерживается ROM), а YESCRYPT_WORM предназначен для авторов сторонних реализаций scrypt для тех их пользователей, кому нужно управлять временем работы отдельно от расхода памяти и параллелизма (в scrypt отдельного параметра для этого не было), при этом не заставляя их ради этой мелочи реализовывать весь yescrypt. Я согласен, что нам следует явно и на видном месте указать предназначение этих вариантов, а также рекомендуемые сейчас параметры.