Hash Criptográfico sobre Senhas e Aleatoriedade do Argon2∗
Resumo
O algoritmo Argon2, eleito na Password Hashing Competition, possui três versões distintas indicadas para uso em cenários específicos. Como não se pode garantir que a versão ideal será selecionada pelo fabricante ou pelo usuário final, este trabalho analisa o comportamento dessas versões com diferentes parâmetros, com relação a duas métricas de aleatoriedade: entropia e monobit. Como resultados, confirma-se que as versões Argon2i e Argon2d apresentam resultados de acordo com os esperados nos cenários para os quais foram planejadas, mas a versão híbrida Argon2id não.Referências
Bellare, M., Pointcheval, D., and Rogaway, P. (2000). Authenticated key exchange secure
against dictionary attacks. EUROCRYPT'00, pages 139–155.
Biryukov, A., Dinu, D., and Khovratovich, D. (2017). Argon2: the memory-hard function for password hashing and other applications. In 2016 IEEE European Symposium on Security and Privacy (EuroS&P), pages 292–302, Luxemburgo.
Denning, D. E. R. (1982). Cryptography and Data Security. Addison-Wesley, EUA.
Dürmuth, M. and Kranz, T. (2015). On password guessing with GPUs and FPGAs. Technology and Practice of Passwords: International Conference on Passwords (PAS- SWORDS'14), pages 19–38.
Krawczyk, H. (2008). On Extract-then-Expand key derivation functions and an HMAC-based KDF.
Ladeira, L. Z., Nascimento, E. N., Ventura, J. P. F., Dahab, R., Aranha, D. F., and Hernández, J. C. L. (2016). Canais laterais em criptograa simétrica e de curvas elípticas: ataques e contramedidas. SBSeg, 16:82–141.
Menezes, A., van Oorschot, P., and Vanstone, S. (2001). Handbook of Applied Cryptography. CRC Press, Estados Unidos da América.
NIST (2009). Special publication 800-108 - recommendation for key derivation using pseudorandom functions. NIST.
NIST (2010). Special Publication 800-22 Rev. 1a. A statistical test suite for random and pseudorandom number generators for cryptographic applications. NIST.
NIST (2013). Special publication 800-63-2 - electronic authentication guideline. NIST.
Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27:379–423, 623–656.
Sotirov, A., Stevens, M., Appelbaum, J., Lenstra, A., Molnar, D., Osvik, D. A., and de Weger, B. (2009). Short chosen-prex collisions for MD5 and the creation of a rogue CA certicate. CRYPTO 2009, pages 55–69.
Stavroulakis, P. and Stamp, M. (2010). Handbook of Information and Communication Security. Springer, Alemanha.
Stevens, M., Bursztein, E., Karpman, P., Albertini, A., and Markov, Y. (2017). The rst collision for full SHA-1. Cryptology ePrint Archive 2017/190.
Thompson, C. D. (1979). Area-time complexity for VLSI. In ACM Symposium on Theory of Computing, STOC '79, EUA. ACM.
Ventura, J. P. F. and Dahab, R. (2009). Introdução a ataques por canais secundários. SBSeg, 9:3–47.
Wagner, D., Kelsey, J., Schneier, B., and Hall, C. (1998). Secure applications of low- entropy keys. Information Security Workshop (ISW'97), pages 121–134.
Wang, X., Yu, H., and Yin, Y. L. (2005). Efcient collision search attacks on SHA-0. CRYPTO 2005, pages 1–16.
against dictionary attacks. EUROCRYPT'00, pages 139–155.
Biryukov, A., Dinu, D., and Khovratovich, D. (2017). Argon2: the memory-hard function for password hashing and other applications. In 2016 IEEE European Symposium on Security and Privacy (EuroS&P), pages 292–302, Luxemburgo.
Denning, D. E. R. (1982). Cryptography and Data Security. Addison-Wesley, EUA.
Dürmuth, M. and Kranz, T. (2015). On password guessing with GPUs and FPGAs. Technology and Practice of Passwords: International Conference on Passwords (PAS- SWORDS'14), pages 19–38.
Krawczyk, H. (2008). On Extract-then-Expand key derivation functions and an HMAC-based KDF.
Ladeira, L. Z., Nascimento, E. N., Ventura, J. P. F., Dahab, R., Aranha, D. F., and Hernández, J. C. L. (2016). Canais laterais em criptograa simétrica e de curvas elípticas: ataques e contramedidas. SBSeg, 16:82–141.
Menezes, A., van Oorschot, P., and Vanstone, S. (2001). Handbook of Applied Cryptography. CRC Press, Estados Unidos da América.
NIST (2009). Special publication 800-108 - recommendation for key derivation using pseudorandom functions. NIST.
NIST (2010). Special Publication 800-22 Rev. 1a. A statistical test suite for random and pseudorandom number generators for cryptographic applications. NIST.
NIST (2013). Special publication 800-63-2 - electronic authentication guideline. NIST.
Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27:379–423, 623–656.
Sotirov, A., Stevens, M., Appelbaum, J., Lenstra, A., Molnar, D., Osvik, D. A., and de Weger, B. (2009). Short chosen-prex collisions for MD5 and the creation of a rogue CA certicate. CRYPTO 2009, pages 55–69.
Stavroulakis, P. and Stamp, M. (2010). Handbook of Information and Communication Security. Springer, Alemanha.
Stevens, M., Bursztein, E., Karpman, P., Albertini, A., and Markov, Y. (2017). The rst collision for full SHA-1. Cryptology ePrint Archive 2017/190.
Thompson, C. D. (1979). Area-time complexity for VLSI. In ACM Symposium on Theory of Computing, STOC '79, EUA. ACM.
Ventura, J. P. F. and Dahab, R. (2009). Introdução a ataques por canais secundários. SBSeg, 9:3–47.
Wagner, D., Kelsey, J., Schneier, B., and Hall, C. (1998). Secure applications of low- entropy keys. Information Security Workshop (ISW'97), pages 121–134.
Wang, X., Yu, H., and Yin, Y. L. (2005). Efcient collision search attacks on SHA-0. CRYPTO 2005, pages 1–16.
Publicado
02/09/2019
Como Citar
GREGÓRIO, Pietro; GOYA, Denise.
Hash Criptográfico sobre Senhas e Aleatoriedade do Argon2∗. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 19. , 2019, São Paulo.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2019
.
p. 71-80.
DOI: https://doi.org/10.5753/sbseg_estendido.2019.14008.