keystore密鑰文件使用的算法-PBKDF2WithHmacSHA1 和Scrypt

PBKDF2

簡單而言就是將salted hash進行多次重復計算，這個次數是可選擇的。如果計算一次所需要的時間是1微秒，那么計算1百萬次就需要1秒鍾。假如攻擊一個密碼所需的rainbow table有1千萬條，建立所對應的rainbow table所需要的時間就是115天。這個代價足以讓大部分的攻擊者忘而生畏

實現：

DK = PBKDF2(P，S，c，dkLen)

可選項： RPF 基本偽隨機函數(hLen表示偽隨機函數輸出的字節長度)

輸入：
　　P 口令，一字節串
　　S 鹽值，字節串 salt

　　c 迭代次數，正整數

　　dkLen 導出密鑰的指定字節長度，正整數，最大約(2^32-1)*hLen

輸出： DK 導出密鑰，長度dkLen字節

 

步驟：

1． 如果dkLen>(2^32-1)*hLen，輸出“derived key too long”並停止。
2． 假設l是導出密鑰的hLen長度的字節塊的個數，r表示最后一個塊的字節數。

　　l = CEIL (dkLen / hLen) ,
　　r = dkLen - (l - 1) * hLen .

　　這里，CEIL(x)是“ceiling”函數，即，大於或等於x的最小整數。

3. 對於導出密鑰的每一塊，運用函數F於口令P、鹽S、迭代次數c和塊索引以計算塊：

　　T_1 = F (P, S, c, 1) ,
　　T_2 = F (P, S, c, 2) ,
　　...
　　T_l = F (P, S, c, l) ,

　　這里函數F定義為基本偽隨機函數PRF應用於口令P和鹽S的串聯和塊索引i的前c次循環的異或和。

　　F (P, S, c, i) = U_1 \xor U_2 \xor ... \xor U_c

　　其中

　　U_1 = PRF (P, S || INT (i)) ,
　　U_2 = PRF (P, U_1) ,
　　...
　　U_c = PRF (P, U_{c-1}) .

　　這里，INT(i)是整數i的四字節編碼，高字節在先。

4． 串聯各塊，抽取前dkLen字節以產生導出密鑰DK：

　　DK = T_1 || T_2 || ... || T_l<0..r-1>

5． 輸出導出密鑰DK。

　　注意：函數F的構造遵循“belt-and-suspenders”方法。U_i次循環被遞歸計算以消除敵手的並行度；它們被異或到一起以減少有關遞歸退化到一個小的值集的擔憂。

{
  "crypto":{
    "cipher":"aes-128-ctr",
    "cipherparams":{
      "iv":"6087dab2f9fdbbfaddc31a909735c1e6"
    },
    "ciphertext":"5318b4d5bcd28de64ee5559e671353e16f075ecae9f99c7a79a38af5f869aa46",
    "kdf":"pbkdf2",
    "kdfparams":{
      "c":262144,//迭代次數
      "dklen":32,//導出密鑰的指定字節長度
      "prf":"hmac-sha256",//基本偽隨機函數，用於迭代中的計算函數
      "salt":"ae3cd4e7013836a3df6bd7241b12db061dbe2c6785853cce422d148a624ce0bd"//鹽值
    },
    "mac":"517ead924a9d0dc3124507e3393d175ce3ff7c1e96529c6c555ce9e51205e9b2"
  },
  "id":"3198bc9c-6672-5ab3-d995-4942343ae5b6",
  "version":3
}

⚠️hmac是Hash-based Message Authentication Code的簡寫，就是指哈希消息認證碼，包含有很多種哈希加密算法，sha256是其中一種。所以hmac-sha256的意思就是使用sha256哈希算法

 

scrypt

https://tools.ietf.org/html/rfc7914(RFC 7914《The scrypt Password-Based Key Derivation Function》關於算法的描述)

https://zhuanlan.zhihu.com/p/32484253

scrypt是由著名的 FreeBSD黑客 Colin Percival為他的備份服務 Tarsnap開發的。

和上述兩種方案不同， scrypt不僅計算所需時間長，而且占用的內存也多，使得 並行計算多個摘要異常困難，因此利用rainbow table進行暴力攻擊更加困難。scrypt沒有在生產環境中大規模應用，並且缺乏仔細的審察和廣泛的函數庫支持。但是，scrypt在算法層面只要沒有破綻，它的安全性應該高於PBKDF2和bcrypt。

 

Scrypt算法會產生一個p個塊元素的數組，p的值大概比2^31（42億）小幾個數量級，實際使用中可能是十萬~百萬級別吧？對於每個塊元素，都是進行一系列復雜運算生成的哈希值，最后對整個數組再進行PBKDF2-HMAC-SHA256運算得到最終結果。

Scrypt算法保證只有將每個元素都存放在內存中，最后才能算出正確的結果，從算法層面保證了對大量內存空間的硬需求，從而提高了運算成本。

{
  "address":"a9886ac7489ecbcbd79268a79ef00d940e5fe1f2",
  "crypto":{
    "cipher":"aes-128-ctr",
    "cipherparams":{
      "iv":"c542cf883299b5b0a29155091054028d"
    },
    "ciphertext":"0a83c77235840cffcfcc5afe5908f2d7f89d7d54c4a796dfe2f193e90413ee9d",
    "kdf":"scrypt",
    "kdfparams":{
      "dklen":32,//導出密鑰的指定字節長度
      "n":262144,//迭代次數
      "r":8,//底層哈希的塊大小。默認為8
      "p":1,//並行化的因素。默認為1
      "salt":"699f7bf5f6985068dfaaff9db3b06aea8fe3dd3140b3addb4e60620ee97a0316"//鹽值
    },
    "mac":"613fed2605240a2ff08b8d93ccc48c5b3d5023b7088189515d70df41d65f44de"
  },
  "id":"0edf817a-ee0e-4e25-8314-1f9e88a60811",
  "version":3
}

 salt 的定義是通過一個單向函數獲取隨機數據來為密碼或口令添加一些額外的數據。更簡單的說法則是通過生成一些隨機的文本將其附加到密碼上來生成 Hash。

為 Hash 加 salt 的主要目的是用來防止預先被計算好的彩虹表攻擊。

現在加  salt 好處是將原本一次比較變為多次比較從而減慢對密碼 Hash 值的猜測，否則對 Hash 密碼庫的破解效率將是非常之高。

bcrypt

bcrypt是專門為密碼存儲而設計的算法，基於 Blowfish加密算法變形而來，由Niels Provos和David Mazières發表於1999年的USENIX。

bcrypt最大的好處是有一個參數（work factor)，可用於調整計算強度，而且work factor是包括在輸出的摘要中的。隨着攻擊者計算能力的提高，使用者可以逐步增大work factor，而且不會影響已有用戶的登陸。

bcrypt經過了很多安全專家的仔細分析，使用在以安全著稱的OpenBSD中，一般認為它比PBKDF2更能承受隨着計算能力加強而帶來的風險。bcrypt也有廣泛的函數庫支持，因此我們建議使用這種方式存儲密碼。

 

有一個在線的哈希加密工具https://1024tools.com/hmac