Keys

重點強化的目的是什麼?

  • February 20, 2018

我最近遇到了這個術語,經過一些研究發現這篇文章指出了以下內容:

另一種方法,稱為密鑰強化,使用隨機鹽擴展密鑰,但隨後(與密鑰拉伸不同)安全地刪除鹽。這會迫使攻擊者和合法使用者對鹽值進行暴力搜尋

這讓我想知道,使用這種方法而不是傳統的按鍵拉伸有什麼意義?有沒有使用這種方法的實際應用程序?

該維基百科文章的來源顯示, Manber描述密鑰強化的文章(添加隨後刪除的鹽)來自 1996 年,比1998 年作為密鑰拉伸描述(添加更多迭代)的起源的文章早兩年。

那裡的想法似乎是crypt()完全按原樣使用現有的密碼雜湊,並在它之外進行任何修改。來自 Manber 論文,第 5 頁:

該方案的實施非常容易。特別是,所有更改都作為登錄過程的額外過濾器進行,根本無需修改加密機制。

請記住,原版crypt()沒有任何設置輪數的方法,而是完全固定的。(它也不支持超過 8 個字元的密碼,因此他們不能只是附加鹽,而是必須通過使用秘密鹽“加擾”密碼來應用它。)

引用自:https://crypto.stackexchange.com/questions/55808