Argon2: различия между версиями

Argon2 - функция формирования ключа, в разработке которой принимали участие Алекс Бирюков (Alex Biryukov), Даниэль Дину (Daniel Dinu) и Дмитрий Ховратович (Dmitry Khovratovich) из университета Люксембурга^[англ.] в 2015 году^[1]. Это рациональный и простой алгоритм, направленный на самую высокую скорость заполнения памяти и эффективное использование нескольких вычислительных блоков. Существуют две версии: Argon2i и Argon2d. Argon2d подходит для защиты цифровой валюты и информационных систем, не подверженных атакам по сторонним каналам. Argon2i обеспечивает высокую защиту от trade-off атак, но работает медленнее версии d из-за нескольких проходов по памяти.^[2]

История

Алгоритм функции выпущен под лицензией Creative Commons. Argon2 является победителем конкурса Password Hashing Competition^[англ.] в 2015 году.^[1] С того времени алгоритм претерпел 4 серьезных изменения. Исправлены часть описаний алгоритмов генерации некоторых блоков и опечатки, добавлены рекомендуемые параметры. Наиболее удачными атаками на Argon2 являются the low-storage attack и the ranking tradeoff attack.^[3]

Описание

Используется следующий режим работы:

Заполнение массива памяти

${\displaystyle B[0]=H(P,S)}$

${\displaystyle for\ j\ from\ 1\ to\ t}$

${\displaystyle B[j]=G(B[\phi _{1}(j)],B[\phi _{2}(j)],...,B[\phi _{k}(j)])}$

${\displaystyle \phi _{k}(j)}$ - функция индексирования

${\displaystyle B[]}$ - массив памяти

${\displaystyle G}$ - функция сжатия

${\displaystyle P}$ - сообщение(пароль)

${\displaystyle H}$ - хэш-функция Blake2b

Функции индексирования различают по версии Argon2:

• Argon2d - ${\displaystyle \phi }$ зависит от предыдущего блока

• Argon2i - ${\displaystyle \phi }$ фиксированное значение

При непараллельном режиме функция ${\displaystyle G}$ повторяется ${\displaystyle m}$ раз . На шаге ${\displaystyle i}$ берется блок с индексом ${\displaystyle \phi (i)}$ определяемый предыдущим блоком при Argon2d: ${\displaystyle \phi (i)=g(B[i])}$ или берется значение генератора случайных чисел(${\displaystyle G}$ в режиме счетчика) при Argon2i.

${\displaystyle g}$ - функция берет часть значений блока ,принимая результат деления по модулю ${\displaystyle i-1}$

Если распараллелить алгоритм на ${\displaystyle p}$ тредов, то данные распределятся по блокам матрицы ${\displaystyle B[i][j]}$, где

первые блоки - результат хэширования входных данных, а следующие задаются функцией сжатия по предыдущим блокам и опорному блоку:

${\displaystyle B^{1}[i][0]=H'(\ H_{0}\ ||\ {\underset {4bytes}{0}}\ ||\ {\underset {4bytes}{i}}\ ),0\leq i<p}$

${\displaystyle B^{1}[i][1]=H'(\ H_{0}\ ||\ {\underset {4bytes}{1}}\ ||\ {\underset {4bytes}{i}}\ ),0\leq i<p}$

${\displaystyle B^{1}[i][j]=G(B^{1}[i][j-1],B^{1}[i'][j']),0\leq i<p}$

${\displaystyle B^{t}[i][0]=G(B^{t-1}[i][q-1],B^{1}[i'][j'])\oplus B^{t-1}[i][0]}$

${\displaystyle B^{t}[i][j]=G(B^{t}[i][j-1],B^{1}[i'][j'])\oplus B^{t-1}[i][j]}$

${\displaystyle q={m' \over p}\ \ \ \ \ m'=\lfloor {m \over 4p}\rfloor 4p}$

${\displaystyle m'}$ - количество блоков памяти размером 1024 байта

${\displaystyle H_{0}}$ - хэш-функция принимающая на вход 32 битное представление входных параметров, на выходе которой 64 битное значение

${\displaystyle H'}$ - хэш-функция переменной длины от ${\displaystyle H}$

${\displaystyle m}$ - размер памяти

${\displaystyle t}$ - количество итераций

В итоге получается:

${\displaystyle B_{final}=B^{T}[0][q-1]\oplus B^{T}[1][q-1]\oplus ...\oplus B^{T}[p-1][q-1]}$

${\displaystyle Tag\leftarrow H'(B_{final})}$ ^[4]

Нахождение опорного блока ${\displaystyle B^{1}[i'][j']}$

• для Argon2d: мы берем первые 32 бита для ${\displaystyle J_{1}}$ и следующие 32 бита для ${\displaystyle J_{2}}$ из блоков ${\displaystyle B[i][j-1]}$
• для Argon2i: ${\displaystyle (J_{1}||J_{2})=G^{2}(null_{1024},{r||l||s||m'||t||y||i||null_{968}})}$, где ${\displaystyle r}$- номер итерации, ${\displaystyle l}$ - номер линии, ${\displaystyle y}$ - задает версию (в данном случае единица)

Считаем ${\displaystyle l=J_{2}modp}$ строки , откуда берется блок. При ${\displaystyle r=0,s=0}$, за текущий номер полосы принимается значение ${\displaystyle l}$ . Затем определяем набор индексов ${\displaystyle R}$ по 2 правилам:

1. Если ${\displaystyle l}$ совпадает с номером текущей строки, то в набор индексов добавляются все не записанные ранее блоки без ${\displaystyle B[i][j-1]}$
2. Если не совпадает, то берутся блоки из всех сегментов полосы и последних ${\displaystyle S-1=3}$ частей.

Вычисляем номер блока из ${\displaystyle R}$ который примем за опорный:

${\displaystyle z=|R|-1-({\frac {|R|*((J_{1})^{2}/2^{32})}{2^{32}}})}$ ^[5]

Blake2b - 64 битная версия функции BLAKE, поэтому ${\displaystyle H'}$ строится так:

${\displaystyle if\ \tau \ \leq \ 64}$

${\displaystyle H'(X)=H_{\tau }(\tau ||X).}$

при больших ${\displaystyle \tau }$ выходное значение функции строится по первым 32 битам блоков - ${\displaystyle A_{i}}$ и последнему блоку ${\displaystyle V_{i}}$ :

${\displaystyle r=\lceil \tau /32\rceil -2}$

${\displaystyle V_{1}\longleftarrow H_{64}(\tau ||X)}$

${\displaystyle V_{r+1}\longleftarrow H_{\tau -32r}(V_{r})}$

${\displaystyle H'(X)=A_{1}||A_{2}||...A_{r}||V_{r+1}}$

Функция сжатия G

Основана на функции сжатия ${\displaystyle P}$ Blake2b. На вход получает два 8192 битных блока и вырабатывает 1024 битный блок. Сначала два блока складываются (${\displaystyle R=X\oplus Y}$),

затем матрица R 8*8 обрабатывается функцией ${\displaystyle P}$ построчно (${\displaystyle R\longrightarrow Q}$), затем получившаяся матрица по столбцам(${\displaystyle Q\longrightarrow Z}$), и на выходе G выдается ${\displaystyle Z\oplus R}$. ^[6]

Криптоанализ

Защита от коллизий: Сама функция Blake2b считается криптографически безопасной. Также, ссылаясь на правила индексирования, авторы алгоритма доказали отсутствие коллизий внутри блоков данных и низкую вероятность их появления при применении функции сжатия.

Атака нахождения прообраза: пусть злоумышленник подобрал ${\displaystyle m}$ такое, что ${\displaystyle G(m)=h}$, тогда для продолжения данной атаки он должен подобрать прообраз ${\displaystyle n}$: ${\displaystyle H(n)=m}$, что невозможно. Такое же рассуждение подходит для атаки нахождения второго прообраза.

Защита от таблиц поиска: благодаря использованию соли в данном алгоритме, для атаки TMTO требуется предварительное вычисление всевозможных вычислений Nonce. При размере соли в 16 байт придется вычислять 2128 матриц значений, каждая из которых занимает гигабайты памяти. Также, изменяя входные параметры алгоритма можно уменьшить вероятность успеха злоумышленников, ограничив внутреннее распараллеливание.

CPU атаки: Argon2 устойчив к атакам злоумышленников с ASIC, так как оптимизирован под x86 архитектуру. Эффективность атак злоумышленников с CPU ограничена RAM доступной для устройства и количеством ядер возможных для x86 архитектуры.

Атаки по времени: если пользователю необходимо адаптироваться к атаке по времени,то следует использовать версию Argon2i, так как она использует независимую память.

Использование хэш-функции Blake2b также исключает уязвимости для других атак.^[7]

Рекомендуемые параметры

Исходя из области применения необходимо выбрать подходящую версию алгоритма(d или i). Далее задать максимальное число потоков, памяти и времени ,возможное для каждого вызова функции. Длины в 128 бит для соли и тэга хватает для любых применений. Затем подобрать максимальное число проходов ${\displaystyle t}$, при котором не превышается заданное время инициализации.^[8]

Атаки

Memory optimization attack

Dan Boneh, Henry Corrigan-Gibbs, и Stuart Schechter в своей работе показали уязвимость Argon2i версии 1.2. Для однопроходной версии их атака выиграла в 4 раза по памяти без штрафного времени. Для многопроходной версии выигрыш составлял 2.72. Позднее в версии 1.3 операцию перезаписи заменили на XOR.^[9]

AB16

Joel Alwen и Jeremiah Blocki в своих работах доказали, что их алгоритм атаки AB16 эффективен не только для Argon2i-A(из первой версии спецификации), но и для Argon2i-B(из последней версии 1.3). Они показали , что для ${\displaystyle t=6}$ над 1GB памяти атака снижает затраты в два раза. Для эффективной защиты необходимо задать больше 10 проходов. Но при рекомендуемом подходе выбора параметров алгоритма на практике часто может выбираться все лишь 1 проход. Разработчики Argon2 утверждают, что коэффициент уменьшения атаки AB16 на Argon2i-B при ${\displaystyle t\geq 4}$ не превышает 2 вплоть до использования 32GB памяти и рекомендуют использовать число проходов превышающее значение двоичного логарифма от используемой памяти.^[10]

The ranking tradeoff attack

Данная атака лучшая для Argon2d. Ее коэффициент уменьшения времени равен 1.33. Для Argon2i при ${\displaystyle t>2}$ коэффициент по времени равен 3. ^[11]

Применение

Argon2 оптимизирован под x86 архитектуру и может быть реализована на Linux,OS X,Windows.

Argon2d предназначен для систем, где злоумышленник не получает регулярный доступ к системной памяти или процессору. Например, для backend серверов и криптомайнеров. При использовании одного ядра на 2Ghz CPU и 250Mb оперативной памяти с Argon2d (p=2) криптомайнинг занимает 0.1 сек. А при применении 4 ядер и 4 Gb памяти (p=8) аутентификация на backend сервере проходит за 0.5 сек.

Argon2i больше подходит для frontend серверов и шифрования жесткого диска. Формирование ключа для шифрования на 2Ghz CPU, используя 2 ядра и 6Gb оперативной памяти с Argon2i (p=4) занимает 3 сек. В то время как аутентификация на frontend сервере, задействовав 2 ядра и 1Gb памяти с Argon2i (p=4), занимает 0.5 сек.

Примечания

Литература

• Joel Alwen, Jeremiah Blocki. Efficiently Computing Data-Independent Memory-Hard Functions. — Advances in Cryptology – CRYPTO 2016, 2016. — P. 241-271. — ISBN 978-3-662-53008-5.
• Jos Wetzels. Open Sesame The Password Hashing Competition and Argon2. — 2016.
• Dan Boneh, Henry Corrigan-Gibbs, Stuart Schechter. Balloon Hashing: A Memory-Hard Function Providing Provable Protection Against Sequential Attacks. — Advances in Cryptology – ASIACRYPT 2016, 2016. — P. 220-248. — ISBN 978-3-662-53887-6.
• Password Hashing Competition  (неопр.).
• Alex Biryukov, Daniel Dinu, Dmitry Khovratovich. Argon2: the memory-hard function for password hashing and other applications. — 2016.