Argon2

Argón2 es una función de derivación de clave que fue seleccionada como ganadora del concurso de descifrado de contraseñas en julio de 2015.^[1]^[2] Fue diseñada por Alex Biryukov, Daniel Dinu, y Dmitry Khovratovich de la Universidad de Luxemburgo.^[3] La implementación de referencia de Argon2 se publica bajo una licencia Creative Commons CC0 licencia (es decir, de dominio público) o la licencia apache 2.0, y proporciona tres versiones relacionadas:

Argon2d maximiza la resistencia a los ataques de cracking de la GPU. Accede al array en memoria en un orden dependiente de la contraseña, lo que reduce la posibilidad de situación de compromiso espacio-tiempo (TMTO), pero introduce posibles ataques de canal lateral.
Argon2i está optimizado para resistir los ataques de canal lateral. Accede al array en memoria en un orden independiente de la contraseña.
Argon2id es una versión híbrida. Sigue el enfoque de Argon2i para la primera mitad del paso sobre la memoria y el enfoque de Argon2d para los pasos siguientes. The internet draft^[4] recomienda el uso de Argon2id excepto cuando hay razones para preferir uno de los otros dos modos.

Los tres modos permiten la especificación por tres parámetros que controlan:

Tiempo de ejecución
Memoria requirida
Grado de paralelismo

Criptoanálisis editar

Aunque no hay ningún criptoanálisis público aplicable a Argon2d, hay ataques publicados sobre la función de Argon2i. El primer ataque es aplicable únicamente a la versión antigua de Argon2i, mientras que el segundo se ha ampliado a la última versión (1.3)^[5]

El primer ataque muestra que es posible calcular una función de paso simple de Argon2i usando entre un cuarto y un quinto espacio deseado sin penalizacion de tiempo, y calcular una función de paso múltiple2 de Argon2i usando únicamente N/e < N/2.71 de espacio sin penalización de tiempo.^[6] Según los autores de Argon2, este vector de ataque fue solucionado en la versión 1.3.^[7]

El segundo ataque muestra que Argon2i puede ser computado por un algoritmo qué tiene complejidad O(n^7/4 log(n)) para todas las opciones de parámetros $σ$ (costo de espacio), $τ$ (costo de tiempo), y cuenta hilos de tal manera que n=σ∗τ.^[8] Los autores de Argon2 autores afirman que este ataque no es eficaz si se utiliza Argon2i con tres o más pasadas.^[7] Sin embargo, Joël Alwen y Jeremiah Blocki mejoraron el ataque y demostraron que el ataque fallara, Argon2i 1.3 necesita más de 10 pasadas sobre la memoria.^[5]

Algoritmo editar

Function Argon2
   Inputs:
      password (P):       Bytes (0..2³²-1)    Contraseña (o mensaje) a ser procesado
      salt (S):           Bytes (8..2³²-1)    Salida (16 bytes recomendados para la contraseña encriptada)
      parallelism (p):    Number (1..2²⁴-1)   Grado de paralelismo (i.e. número de threads)
      tagLength (T):      Number (4..2³²-1)   Número deseado de bytes devueltos
      memorySizeKB (m):   Number (8p..2³²-1)  Cantidad de memoria (en kibibytes) para usar
      iterations (t):     Number (1..2³²-1)   Número de iteraciones a realizar
      version (v):        Number (0x13)       La versión actual es 0x13 (19 decimal)
      key (K):            Bytes (0..2³²-1)    Llave opcional (Errata: PDF says 0..32 bytes, RFC says 0..2³² bytes)
      associatedData (X): Bytes (0..2³²-1)    Datos adicionales arbitrarios opcionales
      hashType (y):       Number (0=Argon2d, 1=Argon2i, 2=Argon2id)
   Output:
      tag:                Bytes (tagLength)   Los bytes generados resultantes, tagLength bytes long

   Genera el bloque inicial de 64 bytes H0. Todos los parámetros de entrada se concatenan y se introducen como fuente de entropía adicional. Erratas: RFC dice que H0 es de 64 bits; PDF dice que H0 es de 64 bytes.
     Errata: RFC dice que el Hash es H^, el PDF dice que es ℋ (pero no documenta lo que es ℋ). En realidad es Blake2b.
     Los artículos de longitud variable se preparan con su longitud como números enteros de 32 bits.
   buffer ← parallelism ∥ tagLength ∥ memorySizeKB ∥ iterations ∥ version ∥ hashType
         ∥ Length(password)       ∥ Password
         ∥ Length(salt)           ∥ salt
         ∥ Length(key)            ∥ key
         ∥ Length(associatedData) ∥ associatedData
   H₀ ← Blake2b(buffer, 64) // El tamaño de hash por defecto de Blake2b es de 64 bytes

   Calcula el número de bloques de 1 KB redondeando hacia abajo (memorySizeKB) al múltiplo más cercano de 4*parallelism kibibytes
   blockCount ← Floor(memorySizeKB, 4*parallelism)

   Asignar una matriz bidimensional de bloques de 1 KiB (filas de parallelism x columnCount)
   columnCount ← blockCount / parallelism;   //En la RFC, columnCount se denomina q

   Computa el primer y segundo bloque (es decir, la columna cero y una ) de cada carril (es decir, la fila)
   for i ← 0 to parallelism-1 do para cada fila
      B_i[0] ← Hash(H₀ ∥ 0 ∥ i, 1024) // Genera 1024-byte digest
      B_i[1] ← Hash(H₀ ∥ 1 ∥ i, 1024) // Genera 1024-byte digest

   Computa las columnas restantes de cada carril
   for i ← 0 to parallelism-1 do // para cada fila
      for j ← 2 to columnCount-1 do // para cada columna subsiguiente
         //Los índices "i" y "j" dependen de si se trata de Argon2i, Argon2d o Argon2id (véase la sección 3.4)
         i′, j′ ← GetBlockIndexes(i, j)  //la función GetBlockIndexes no está definida
         B_i[j] = G(B_i[j-1], B_i′[j′]) // la función G hash no está definida

   Further passes when iterations > 1
   for nIteration ← 2 to iterations do
      for i ← 0 to parallelism-1 do para cada fila
        for j ← 0 to columnCount-1 do // para cada columna subsiguiente
           //Los índices "i" y "j" dependen de si se trata de Argon2i, Argon2d o Argon2id (véase la sección 3.4)
           i′, j′ ← GetBlockIndexes(i, j)
           if j == 0 then 
             B_i[0] = B_i[0] xor G(B_i[columnCount-1], B_i′[j′])
           else
             B_i[j] = B_i[j] xor G(B_i[j-1], B_i′[j′])

   Calcula el bloque final C como el XOR de la última columna de cada fila
   C ← B₀[columnCount-1]
   for i ← 1 to parallelism-1 do
      C ← C xor B_i[columnCount-1]

   Calcular la etiqueta de salida
   return Hash(C, tagLength)

Función hash de longitud-variable editar

Argón2 hace uso de una función hash capaz de producir digests de hasta 232 bytes de largo. Esta función hash esta construida internamente construida sobre Blake2.

Function Hash(message, digestSize)
   Inputs:
      message:         Bytes (0..2³²-1)     Mensaje a ser procesado
      digestSize:      Integer (1..2³²)     Número deseado de bytes a devolver
   Output:
      digest:          Bytes (digestSize)   Los bytes generados resultantes, digestSize de los bytes de largo

   El hash es una función de longitud variable, construida usando Blake2b, capaz de generar digests de hasta 232 bytes.

   Si el digestSize solicitada es de 64 bytes o menos, entonces usamos Blake2b directamente
   if (digestSize <= 64) then
      return Blake2b(digestSize ∥ message, digestSize) //concatenar 32-bit little endian digestSize con los bytes del mensaje

   Para los hashes deseados de más de 64 bytes (por ejemplo, 1024 bytes para los bloques de Argon2), utilizamos Blake2b para generar el doble del número de bloques de 64 bytes necesarios, y luego sólo utilizamos 32 bytes de cada bloque

   Calcula el número de bloques enteros (sabiendo que sólo vamos a usar 32 bytes de cada uno)
   r ← Ceil(digestSize/32)-1;

   Genera r bloques.
   Bloque inicial generado desde el mensaje
   V₁ ← Blake2b(digestSize ∥ message, 64);
   Los bloques subsiguientes se generan a partir de los bloques anteriores
   for i ← 2 to r do
      V_i ← Blake2b(V_i-1, 64)
   Genera el bloque final (posiblemente parcial)
   partialBytesNeeded ← digestSize – 32*r;
   V_r+1 ← Blake2b(V_r, partialBytesNeeded)

   Concatena los primeros 32 bytes de cada bloque V_i
   (excepto el posible último bloque parcial, del que toma todo)
   Que A_i represente los 32-bytes inferiores del bloque V_i
   return A₁ ∥ A₂ ∥ ... ∥ A_r ∥ V_r+1

Referencias editar

↑ "Password Hashing Competition"
↑ Jos Wetzels (8 de febrero de 2016). Open Sesame: The Password Hashing Competition and Argon2.
↑ Argon2: the memory-hard function for password hashing and other applications, Alex Biryukov, et al, October 1, 2015
↑ https://datatracker.ietf.org/doc/draft-irtf-cfrg-argon2/ The memory-hard Argon2 password hash and proof-of-work function, draft-irtf-cfrg-argon2-03, accessed August 16, 2017
↑ ^a ^b Joël Alwen, Jeremiah Blocki (5 de agosto de 2016). Towards Practical Attacks on Argon2i and Balloon Hashing.
↑ Henry Corrigan-Gibbs, Dan Boneh, Stuart Schechter (14 de enero de 2016). Balloon Hashing: Provably Space-Hard Hash Functions with Data-Independent Access Patterns.
↑ ^a ^b «[Cfrg] Argon2 v.1.3». www.ietf.org. Consultado el 30 de octubre de 2016.
↑ Joel Alwen, Jeremiah Blocki (19 de febrero de 2016). Efficiently Computing Data-Independent Memory-Hard Functions.

Enlaces externos editar

Datos: Q21995362

[1] "Password Hashing Competition"

[2] Jos Wetzels (8 de febrero de 2016). Open Sesame: The Password Hashing Competition and Argon2.

[3] Argon2: the memory-hard function for password hashing and other applications, Alex Biryukov, et al, October 1, 2015

[4] ttps://datatracker.ietf.org/doc/draft-irtf-cfrg-argon2/ The memory-hard Argon2 password hash and proof-of-work function, draft-irtf-cfrg-argon2-03, accessed August 16, 2017

[blocki-5] Joël Alwen, Jeremiah Blocki (5 de agosto de 2016). Towards Practical Attacks on Argon2i and Balloon Hashing.

[6] Henry Corrigan-Gibbs, Dan Boneh, Stuart Schechter (14 de enero de 2016). Balloon Hashing: Provably Space-Hard Hash Functions with Data-Independent Access Patterns.

[:0-7] «[Cfrg] Argon2 v.1.3». www.ietf.org. Consultado el 30 de octubre de 2016.

[8] Joel Alwen, Jeremiah Blocki (19 de febrero de 2016). Efficiently Computing Data-Independent Memory-Hard Functions.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]