PBKDF2

Vikipedi, özgür ansiklopedi
Gezinti kısmına atla Arama kısmına atla

Kriptografi alanında, PBKDF1 ve PBKDF2 (Password-Based Key Derivation Function 2) olarak bilinen anahtar türetme fonksiyonları şifrelenmiş anahtarları kaba kuvvet saldırılarına karşı güçlendirmek amacıyla geliştirilmiştir.

PBKDF2, RSA laboratuvarı'na ait Açık Anahtarlı Şifreleme Standartları bünyesinde yer almaktadır. Spesifik olarak, PKCS #5 v2.0 adıyla bilinmektedir ve IETF tarafından yayınlanmıştır RFC 2898.[1] Öncüsü olan PBKDF1 sadece 160 bit uzunluğunda anahtarlar üretebildiği için geliştirilmiştir.[2] 2017'de yayınlanan RFC 8018, parola özeti (password hashing) için PBKDF2'yi önermektedir.[3]

Amaç ve İşlem[değiştir | kaynağı değiştir]

PBKDF2, verilen bir parola ve tuzu, sözde-rastgele bir fonksiyondan (özet-tabanlı mesaj doğrulama kodu (HMAC) gibi) birçok kez peş peşe geçirerek, kriptografik anahtar olarak kullanılabilecek bir türetilmiş anahtar üretir. Bu sırada harcanan bilgisayar gücü, parola kırma işlemini çok daha zor hale getirmektedir. Buna anahtar esnetme de denmektedir.

2000 yılında bu standart yazıldığında, önerilen iterasyon sayısı 1000 olarak belirtilmiştir ancak işlemcilerin gücü arttıkça iterasyon sayısının da arttırılması planlanmıştır. 2005 yılında, bir Kerberos standartı 4096 iterasyon önermiştir.[4] Apple iOS 3 için 2000 ve iOS 4 için 10000 iterasyon kullandığını duyurmuştur.[5] LastPass ise 2011 yılında JavaScript istemcileri için 5000 ve sunucu-tarafı için 100000 iterasyon kullandığını belirtmiştir.[6]

Parolalara tuz eklemek, ataklar sırasında önceden hesaplanmış özetlerin (hash değerlerinin) kullanılmasının (gökkuşağı tabloları) önüne geçer. Bu sayede, şifrelerin hepsi aynı anda değil test edilememekte; bunun yerine, teker teker test edilmesi gerekmektedir. Bu standartta, tuz uzunluğu olarak en az 64 bit önerilmektedir.[7] Birleşmiş Devletler Standart ve Teknoloji Enstitüsü ise tuz uzunluğu olarak 128 bit önermektedir.[8]

Anahtar Türetme İşlemi[değiştir | kaynağı değiştir]

PBKDF2 anahtar türetim fonksiyonunun 5 parametresi bulunmaktadır:[kaynak belirtilmeli]

DK = PBKDF2(PRF, Password, Salt, c, dkLen)
  • PRF: 2 parametre alan ve çıktı uzunluğu hLen olan sözde-rastgele bir fonksiyon (örneğin, HMAC)
  • Password: türetilmiş anahtar üretmek için kullanılan asıl parola
  • Salt: tuz (kriptografi) olarak bilinen bir sıra bit
  • c: arzulanan iterasyon sayısı
  • dkLen: türetilmiş anahtarın arzulanan uzunluğu
  • DK: türetilmiş anahtar

Türetilmiş anahtar DK'nın, hLen uzunluğundaki her bloğu (Ti) aşağıdaki şekilde hesaplanır (|| konkatinasyon işlemini temsil etmektedir):

DK = T1 || T2 || ... || Tdklen/hlen
Ti = F(Password, Salt, c, i)

F fonksiyonu, c iterasyon boyunca zincirlenerek uygulanmış PRF işleminin xor (^) edilmiş halidir. PRF fonksiyonunun ilk iterasyonunda Password anahtar olarak kullanılır ve 32-bit big-endian olarak kodlanmış i ile konkatine edilmiş olan Salt tuz olarak kullanılır. Bundan sonraki iterasyonlarda ise Password hala anahtar olarak kullanılmaya devam edilir fakat tuz olarak PRF fonskiyonunun bir önceki çıktısı kullanılır. F fonksiyonunun formal olarak tanımı aşağıda verilmiştir:

F(Password, Salt, c, i) = U1 ^ U2 ^ ... ^ Uc
U1 = PRF(Password, Salt || INT_32_BE(i))
U2 = PRF(Password, U1)
...
Uc = PRF(Password, Uc-1)

Örneğin, WPA2 aşağıdaki parametreleri kullanmaktadır:

DK = PBKDF2(HMAC−SHA1, passphrase, ssid, 4096, 256)

HMAC çakışmaları[değiştir | kaynağı değiştir]

PBKDF2, sözde-rastgele fonksiyon olarak HMAC kullandığında, ilginç bir özelliğe sahiptir: İstenilen miktarda çakışan parola çiftleri kolayca oluşturulabilmektedir.[9] Eğer verilen parola, kullanılan HMAC fonksiyonundaki blok boyutundan uzunsa, parola ilk önce bir özet (İhash) fonksiyonundan geçirilir ve parola yerine bu değer kullanılır. Örneğin, aşağıdaki parola çok uzundur:

  • Password: plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd

Bundan dolayı, (örneğin HMAC-SHA1 kullanırken) aşağıdaki gibi SHA-1 fonksiyonundan geçirilir:

  • SHA1 (hex): 65426b585154667542717027635463617226672a

Bu değer ASCII olarak aşağıdaki gibi ifade edilebilir:

  • SHA1 (ASCII): eBkXQTfuBqp'cTcar&g*

Bu demektir ki tuzdan ve iterasyonlardan bağımsız olarak PBKDF2-HMAC-SHA1 aşağıdaki parolalar için aynı anahtarı üretecektir:

  • "plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd"
  • "eBkXQTfuBqp'cTcar&g*"

Örneğin, aşağıdaki parametreler kullanıldığında:

  • PRF: HMAC-SHA1
  • Salt: A009C1A485912C6AE630D3E744240B04
  • Iterations: 1,000
  • Derived key length: 16 bytes

Aşağıdaki fonksiyon çağrıları:

PBKDF2-HMAC-SHA1("plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd", ...)
PBKDF2-HMAC-SHA1("eBkXQTfuBqp'cTcar&g*", ...)

aynı türetilmiş anahtarı üretecektir (17EB4014C8C461C300E9B61518B9A18B). Ancak türetilmiş anahtarlardaki bu çakışma bir güvenlik açığına sebep vermemektedir, çünkü parolanın özetini (hash değerini) üretmek için parolanın orijinalinin hala bilinmesi gerekmektedir.[10] Çakışmaların varlığının incelenmesi sadece bir merak ürünüdür.

PBKDF2 Alternatifleri[değiştir | kaynağı değiştir]

PBKDF2'nin bir zayıflığı, hesaplama zamanını uzatmak için iterasyon sayısını ayarlanabilmesine rağmen, yine de küçük bir devre ve az miktarda RAM ile bu işlem yapılabilmektedir. Bu da PBKDF2'yi uygulamaya özel tümleşik devre veya grafik işlemci ünitesi kullanan kaba kuvvet saldırılana karşı zayıf kılmaktadır.[11] bcrypt parola özetleme fonksiyonu daha fazla miktarda RAM gerektirmektedir ve bu tarz ataklara karşı biraz daha güvenlidir.[12] Daha modern bir anahtar türetme fonksiyonu olan scrypt ise istenildiği kadar çok hafıza gerektirdiğinden, bu tarz ataklara karşı daha da güvenlidir.[11]

2013 yılında, daha dayanıklı yöntemlerin geliştirilmesi için bir Parola Özetleme Yarışması düzenlenmiştir. 20 Temmuz 2015 tarihinde Argon2 bu yarışmayı kazanmıştır, ancak diğer 4 katılımcıya da teselli ödülü verilmiştir: Catena, Lyra2, yescrypt ve Makwa.[13]

Kaynakça[değiştir | kaynağı değiştir]

  1. ^ "PKCS #5: Password-Based Cryptography Specification Version 2.1". tools.ietf.org. 27 Mart 2019 tarihinde kaynağından arşivlendi. 
  2. ^ <bkaliski@rsasecurity.com>, Burt Kaliski. "PKCS #5: Password-Based Cryptography Specification Version 2.0". tools.ietf.org. 27 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2015. 
  3. ^ "PKCS #5: Password-Based Cryptography Specification Version 2.1". tools.ietf.org. 27 Mart 2019 tarihinde kaynağından arşivlendi. 
  4. ^ Kenneth Raeburn. "Advanced Encryption Standard (AES) Encryption for Kerberos 5". tools.ietf.org. 21 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2015. 
  5. ^ "Smartphone Forensics: Cracking BlackBerry Backup Passwords". Advanced Password Cracking – Insight (ElcomSoft). 7 Nisan 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2015. 
  6. ^ "LastPass Security Notification". The LastPass Blog. 2 Mayıs 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Ekim 2015. 
  7. ^ K. Moriarty; ve diğerleri. "RFC 8018 - PKCS #5: Password-Based Cryptography Specification, Version 2.1". tools.ietf.org. 27 Mart 2019 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Ocak 2018. 
  8. ^ Meltem Sönmez Turan, Elaine Barker, William Burr, and Lily Chen. "NIST SP 800-132, Recommendation for Password-Based Key Derivation Part 1: Storage Applications" (PDF). www.nist.gov. 2 Haziran 2018 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 20 Aralık 2018. 
  9. ^ https://mathiasbynens.be/notes/pbkdf2-hmac
  10. ^ https://crypto.stackexchange.com/questions/26510/why-is-hmac-sha1-still-considered-secure
  11. ^ a b Colin Percival. scrypt. As presented in "Stronger Key Derivation via Sequential Memory-Hard Functions". presented at BSDCan'09, May 2009.
  12. ^ "New 25 GPU Monster Devours Passwords In Seconds". The Security Ledger. 4 Aralık 2012. 24 Nisan 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Eylül 2013. 
  13. ^ "Password Hashing Competition"

Dış Kaynaklar[değiştir | kaynağı değiştir]