https://m.opennet.dev/openforum/vsluhforumID3/113845.html Вышла (http://www.openwall.com/lists/announce/2018/03/09/1) первая официальная версия yescrypt (http://www.openwall.com/yescrypt/), новой схемы хеширования паролей и формирования криптографических ключей на основе паролей или парольных фраз. Yescrypt основывается на scrypt (http://www.tarsnap.com/scrypt.html) и включает в себя поддержку классического scrypt, консервативной модификации scrypt (под названием YESCRYPT_WORM) и, наконец, глубокой модификации scrypt (под названием YESCRYPT_RW), которая предлагается как основная (и подразумевается под yescrypt далее).<br><br><br>Нравится нам или нет, парольная аутентификация остаётся актуальной, в том числе и при использовании многофакторной аутентификации, а утечка базы данных, содержащей хеши паролей, является одним из рисков. Для снижения последствий такой утечки, используются специализированные методы хеширования, которые на<br>каждую проверку пароля расходуют значительное процессорное время (bcrypt, PBKDF2 и др.), а также оперативную память (scrypt, Argon2 и др.) К сожа https://m.opennet.dev/openforum/vsluhforumID3/113845.html#31 Mon, 19 Mar 2018 12:53:50 GMT Не "сводится" к наличию ROM - в yescrypt есть еще несколько важных отличий, которые "снижают эффективность атак [...] даже если использование памяти низкое (и даже при отсутствии ROM)". Они перечислены в "Comparison to Argon2" на странице yescrypt и подробно описаны в докладе с BSidesLjubljana 2017 и в PDF'е на сайте PHC. Да, ROM защищает от части возможных атак, где иначе было бы эффективно применено уже имеющееся в большом количестве и без дополнительных затрат оборудование, такое как узлы ботнета и/или GPU. (От нынешних GPU в yescrypt есть и другой способ защиты, не требующий больших объемов памяти, но GPU развиваются.)<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#28 Mon, 19 Mar 2018 08:04:37 GMT я чет недопонел.... продвинутость безопасности решения сводится к наличию ROM и предполагается, что у атакующего его не будет, поэтому ему нужно будет гораздо более мощное оборудование? Или смысл таки в чем-то другом?<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#27 Sun, 18 Mar 2018 23:07:07 GMT &gt; я ничего не понял.<br><br>Он грузновато объяснил, суть сводится к тому что ROM может быть более крупным без ущерба для производительсности алгоритма.<br><br>Насколько это хорошо - черт его знает. Алгоритм становится memory hog, как я понимаю интенсивнее чем RAM-based. А насколько кто на этой планете готов целиком выкроить 100500 ядерный ксеон и сотни гигз только для проверки паролей - интересный вопрос. Даже толстые энтерпрайзы будут давиться жабой. Но как один из вариантов на выбор - почему бы и нет? Вдруг кому такое все же понравится.<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#25 Sun, 18 Mar 2018 21:54:50 GMT &gt; Это анонимы, спрашивающие эксперта по безопасности и ставящие ему минусы за внятный <br>&gt; и вразумительный ответ -- везде одинаковые. А люди, благодаря которым <br>&gt; даже такие анонимы могут жить, ковыряя пальцем в носу -- они каждый особенный.<br><br>То что вы не аноним еще не делает ваши сообщения полезнее. А если это про solardiz - да упаси меня ему минусы ставить. Один из немногих вменяемых и даже относительно культурных перцев на опеннете.<br><br>//но сабжевый алгоритм все-таки малость не от мира сего, на грани экстремизма от безопасников.<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#24 Sun, 18 Mar 2018 20:44:24 GMT обработка и хранение специфической информации в RAM/ROM с учётом возможных атак на них и процесс (тайминг, фирмваре, дос, тд) <br><br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#23 Sun, 18 Mar 2018 20:35:43 GMT Это анонимы, спрашивающие эксперта по безопасности и ставящие ему минусы за внятный и вразумительный ответ -- везде одинаковые. А люди, благодаря которым даже такие анонимы могут жить, ковыряя пальцем в носу -- они каждый особенный.<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#22 Sun, 18 Mar 2018 16:21:23 GMT я ничего не понял.<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#21 Sun, 18 Mar 2018 12:11:47 GMT ROM обеспечивает меньший чем RAM уровень защиты в расчете на байт (так как ROM можно использовать для большого количества вычислений одновременно), но зато его объем не ограничен требованиями по количеству вычисляемых хешей в секунду и времени ответа (объем RAM ими ограничен так как RAM надо успеть заполнить и хотя бы частично прочитать обратно с помощью выделенной доли вычислительных ресурсов и за выделенное время, а иначе атакующий сможет применить меньший объем).<br> https://m.opennet.dev/openforum/vsluhforumID3/113845.html#20 Sun, 18 Mar 2018 11:55:41 GMT Это обсуждалось в PHC - нужен один или несколько победителей и/или вариантов алгоритма (для разных применений?) Многие были за один умеренно хороший, но зато универсальный вариант. Выбрали один алгоритм как победитель - Argon2 - хотя и у него уже на тот момент было два варианта (2d и 2i) и еще некоторые обсуждались (2ds, 2id - причем сейчас 2id рекомендуется авторами как основной). В некотором смысле это fail, но не всё так просто. С позиции исключительно такой, что алгоритм нужен один, PHC был не нужен. Можно было бы сказать что у нас уже есть хороший scrypt, а лучшее - враг хорошего. Но с другой стороны scrypt уже был далеко не единственным, это направление развивается с 1970-х годов, в нем есть недавние существенные достижения (особенно scrypt в 2009) и PHC дал существенные новые результаты (до PHC никто всерьез не занимался созданием и атаками на time-memory trade-off resistant схемы). Даже у одного алгоритма есть параметры, выбор которых не менее важен, чем выбор самого алгоритма. Отказ и от параметров в