The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление схемы хеширования паролей yescrypt 1.1.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление схемы хеширования паролей yescrypt 1.1.0"  +/
Сообщение от opennews (?), 01-Июл-19, 15:19 
Представлена (https://www.openwall.com/lists/announce/2019/06/30/1) новая версия yescrypt 1.1.0 (http://www.openwall.com/yescrypt/), схемы хеширования паролей и формирования криптографических ключей на основе паролей или парольных фраз, расширяющей возможности классического scrypt (http://www.tarsnap.com/scrypt.html) и его модификаций. Yescrypt позволяет использовать схемы с большим расходом оперативной памяти и снижает эффективность атак, использующих GPU, FPGA и специализированные чипы. Подробное описание особенностей Yescrypt можно найти в тексте (https://www.opennet.ru/opennews/art.shtml?num=48275) анонса первого выпуска.


В новой версии выполнено слияние исходных текстов  yescrypt-opt.c и yescrypt-simd.c. Итоговый вариант помещён в файл yescrypt-opt.c, но по начинке сводный вариант ближе к коду yescrypt-simd.c и позволяет использовать те же оптимизации на системах с поддержкой SIMD, а в режиме без использования векторных инструкций позволяет достичь более высокой производительности за счёт активного использования регистров  64-разрядных CPU (на 32-разрядных системах производительность может понизиться). В новой версии также задействованы SSE-инструкции  prefetch, которые используются  даже в скалярных сборках и позволяют обеспечить поддержку SIMD на архитектурах с порядком следования байт  big-endian (ранее SIMD применялся только для little-endian).


Реализация yescrypt включена в состав библиотеки libxcrypt 4.2.0 (https://github.com/besser82/libxcrypt), используемой в дистрибутивах  Fedora и ALT Linux вместо
libcrypt из GLibc. Поддержка yescrypt доступна начиная с Fedora 29. В выпуске libxcrypt 4.3.0 дополнительно добавлен набор gost-yescrypt, включающий обвязку для использования yescrypt вместе с хэшами GOST  (yescrypt обеспечивает для хэшей GOST защиту от атак по подбору паролей). Применение указанной обвязки может потребоваться в областях, в которых требуется соответствие  Российским криптографическим стандартам (например, в ALT Linux).


URL: https://www.openwall.com/lists/announce/2019/06/30/1
Новость: https://www.opennet.ru/opennews/art.shtml?num=50997

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. "Обновление схемы хеширования паролей yescrypt 1.1.0"  –3 +/
Сообщение от Пятачок_с_мёдом (?), 01-Июл-19, 15:19 
Ничего не понял, можно попроще?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +2 +/
Сообщение от Аноним (3), 01-Июл-19, 17:29 
> Применение указанной обвязки может потребоваться в областях, в которых требуется соответствие Российским криптографическим стандартам (например, в ALT Linux).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +3 +/
Сообщение от Аноним (4), 01-Июл-19, 17:36 
Если ты этого не понимаешь, тебе это не нужно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +8 +/
Сообщение от solardiz (ok), 01-Июл-19, 17:39 
Пароли пользователей на серверах обычно не хранятся, а вместо них хранятся результаты вычисления хеш-функции от паролей. Так безопаснее. Есть ряд желаемых свойств таких хеш-функций. yescrypt обладает многими из желаемых свойств.

yescrypt также обладает рядом желаемых свойств для применения при формировании ключа шифрования данных на основе пароля (например, для шифрованной файловой системы).

Изменения в этой версии yescrypt существенны с точки зрения реализации, будущего развития проекта и интеграции в другие проекты, но несущественны непосредственно для пользователей yescrypt прямо сейчас. Сам факт выпуска очередной версии показывает, что проект поддерживается.

Поначалу мы предлагали yescrypt для крупных внедрений (Интернет-компании с миллионами пользователей). Сейчас, с интеграцией в libxcrypt, это постепенно меняется - базовая функциональность yescrypt становится легко доступна и для применения на отдельных серверах.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +3 +/
Сообщение от Анонтоним (?), 01-Июл-19, 18:13 
Это такая медленная реализация хеша пароля, что если у тебя их сольют (например, из файла /etc/shadow с хешами паролей), то делать перебор паролей, даже по словарю будет настолько медленно, что можно надеяться, что этим никто не будет заниматься в здравом уме.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Обновление схемы хеширования паролей yescrypt 1.1.0"  –2 +/
Сообщение от forum reader (?), 01-Июл-19, 19:42 
Что тебе непонятного в "большим расходом оперативной памяти" ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление схемы хеширования паролей yescrypt 1.1.0"  –1 +/
Сообщение от Аноним (9), 01-Июл-19, 20:50 
solardiz,
1. почему diz вместо des?
2. зачем продвигать криптоалгоритмы, разработчиков которых поймали на недостоверной информации https://who.paris.inria.fr/Leo.Perrin/pi.html
3. чем yescrypt лучше argon2?
4. когда новый выпуск LKML?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление схемы хеширования паролей yescrypt 1.1.0"  –2 +/
Сообщение от не solardiz (?), 01-Июл-19, 23:30 
> 2. зачем продвигать криптоалгоритмы, разработчиков которых поймали на недостоверной информации
> https://who.paris.inria.fr/Leo.Perrin/pi.html

Затем, что их всё равно анально внедрят, ибо партия велела. А так хоть какая-то надежда на надёжность будет.

> 3. чем yescrypt лучше argon2?

В новости есть ссылка, по которой это расписано.

> 4. когда новый выпуск LKML?

Если ты про https://lkml.org/, то по пачке тредов в день открывается, но причём тут solardiz?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +/
Сообщение от gcc (??), 02-Июл-19, 11:20 
> зачем продвигать криптоалгоритмы,
> разработчиков которых поймали на
> недостоверной информации

Иногда лучше выглядеть дураком, чем сболтнуть лишнего и отсидеть пяток лет. Проще было сказать, что таблица рандомная, чем расписывать как и почему (показывая какие методы
анализа известны), imho.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +1 +/
Сообщение от Tifereth (?), 02-Июл-19, 12:37 
Последствия этого "лучше" довольны просты - знающие люди однозначно советуют избегать использования Стрибога/Кузнечика, вследствие возможного существования "чёрного хода".

Замечательный итог. "Налить всем по чарке!"

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +1 +/
Сообщение от Анонтоним (?), 02-Июл-19, 13:52 
Ага, "знающие люди однозначно советуют избегать использования" чего либо российского...
Знаем, проходили. Пол русского инета забита прoсрaлиполимерщиками.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +/
Сообщение от solardiz (ok), 02-Июл-19, 14:06 
Сначала по теме:
2. Мы ГОСТ не продвигаем. В самом yescrypt его поддержки нет. Она есть в libxcrypt, что используется в некоторых установках ALT Linux. В моем анонсе этого выпуска yescrypt и заодно интеграции в libxcrypt явно написано, что gost-yescrypt следует использовать только там где требуется соответствие российским стандартам: "gost-yescrypt should only be used where compliance with Russian cryptographic standards is required". В файле NEWS из libxcrypt 4.3.1+ также описано изменение, сделанное с моей подачи, снижающее риск необдуманного использования gost-yescrypt: "Reduce the number of methods that can be the default for new hashes. We don’t want to accidentally encourage use of gost-yescrypt, [...] by people who do not have a specific need for them." Основная причина не продвигать gost-yescrypt не в недостоверной информации об S-box'ах (что почти наверняка не делает хеши уязвимыми при данном применении), а просто в том что это лишний тип хешей (сложности переносимости) и лишняя обертка (ее дизайн и реализация, а значит и риск ошибок).
3. Основное преимущество yescrypt в большей стойкости к перебору (бОльшие затраты атакующего при тех же затратах защищающего). Есть и другие преимущества, а также есть недостатки и отличия. Подробное сравнение с Argon2 (и с scrypt) есть в файле COMPARISON в архивах с yescrypt 1.0.1+, а также на странице проекта: https://www.openwall.com/yescrypt/#argon2
Не по теме:
1. diz остался со времен BBS и файлов file_id.diz.
4. Наверное, LKRG? Возможно, что в этом месяце, но не обещаем. Свежайший код есть в репозитории BitBucket по ссылке со страницы проекта: https://www.openwall.com/lkrg/
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +/
Сообщение от Анонтоним (?), 02-Июл-19, 15:08 
20-ть лет назад некто Vincent Rijmen в своей работе http://luca-giuzzi.unibs.it/corsi/Support/papers-cryptograph... написал: "Every element of GF(256) can be written as a polynomial of the first degree with coefficients from GF(16)", и вот теперь нашлись эксперты которые тоже самое проделали для гостовской таблицы замен, с криками "тайная структура!", "закладки КГБ!", "русские снова всем лгут!.."
Удивляет, как они ещё не добрались до белорусских, казахских и украинских S-боксов?..
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Обновление схемы хеширования паролей yescrypt 1.1.0"  +/
Сообщение от solardiz (ok), 02-Июл-19, 17:18 
Не моя тема, но:

Vincent Rijmen - один из двух авторов AES. Процитированное утверждение универсально, но эффективность применения преобразований для S-блоков конкретно AES не вызывала удивления так как структура S-блоков AES была документирована с самого начала.

Суть претензий в том что для ГОСТ'овых S-блоков утверждалось, что они случайны, а значит крайне маловероятно что их удалось бы преобразовать во что-то, запись чего в каком-либо ранее общепринятом виде окажется в разы меньше их размера как таблиц. Упомянутые эксперты же нашли существенно более краткую математическую запись, а сообщество помогло добавить наглядности уместив исходно 256-байтную таблицу (или ~210 байт если вспомнить, что условия задачи требовали чтобы такая таблица была перестановкой) в, например, 72 байта машинного кода под 32-битный x86: https://codegolf.stackexchange.com/questions/186498/proving-...

Про "тайная структура" и "лгут" пишут и обосновывают. Про "закладки" пишут что подтверждения этому нет, но риск подразумевается. Аспекта что именно "русские" по-моему там нет, это нормально что любой криптографический алгоритм вызывает подозрения, а если речь о национальном стандарте, то подозрения в закладках от спецслужб соответствующей страны. Особенно когда что-то скрыли. То же самое было в отношении DES, причем во многом со стороны американцев же (а потом оказалось, что секретная структура S-блоков повышала безопасность). И сейчас возможные проблемы безопасности ГОСТ'ов затрагивают в первую очередь их использование в России же (так как использовать их где-либо еще всё равно почти не будут - просто не нужно) и опасения со стороны "русских" же.

"До белорусских" добрались тоже. А казахские и украинские есть? Я не в курсе.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру