当PerfectForwardSecrecy与无盐密码散列相同的缺陷时，它为什么被认为是OK的？

Question

PFS套件存在与任何其他无盐密码散列方案相同的缺陷。

为什么每个人都在大力提倡完美的前向保密(PFS)密匙？

也就是说，当组/散列减弱时，攻击者就可以投入大量的预计算，然后可以以最小的额外成本破坏单个连接/散列。这一属性允许大公司摊还大量预计算的费用，而不是大量的裂纹连接。因此，它促进了对目标攻击的大规模窥探。

这个问题是由WeakDH/灌木浆纸提出的。

编辑，谢谢@steffen，把盐包含在“秘密”中是没有意义的，所以DHE无盐的等价物是“每个人都使用(少数)相同的组”。

Answer 1

没有盐的密码散列只是一个问题，因为实际使用的密码数量相对较小，而且分布也不均匀。因此，在时间和内存方面，都可以使用预先计算的散列生成一个表，然后根据该表检查无盐散列以反转哈希。因此，对此的保护是盐类(预计算所需的时间和内存的增加)和慢散列(增加时间)。

但是，如果密码的选择不偏袒“少数”经常选择的密码，而是会有大量可能的密码，而且没有哪一个比其他密码更有可能，那么这种预计算就不再可行了。在时间和内存方面，对所有可能的密码进行预计算和存储散列实际上是不可能的。这正是PFS的情况--它根本不可能预先计算出所有可能值中的一小部分。

Answer 2

1. 我们选择像RFC 3526，第14组或更大的群，这样的预计算量太大，不可行。弱密码组的主要问题是，被选中的组最初被选为“出口级”密码组的易碎组，或者我喜欢称之为“美帝国主义级”密码组的密码组。该计划是，美国国家安全局( NSA )要求美国公司--它们是世界上唯一能够销售密码产品的公司，因为美国是最好的--在海外销售的任何产品都必须使用糟糕的DH组，以便美国以外的所有密码系统都可以打破。当我们最终意识到密码术有可能发生在比美国小的土地上，整个计划失败后，TLS的维护人员忘记(或“忘记”-恶意和无能是很难区分的)来消除不良的DH组。
2. 更好的是，在较新的系统中，我们选择不允许像X25519这样的预计算的组。同时攻击多个X25519目标具有批处理优势，但是没有任何已知的预计算可以加快任何特定目标的速度，而且即使是第一个目标也要花费2^{128}。
3. 尽管如此，“完美的向前保密”是一个充满价值的词，最好避免，因为它混淆了人们。更好的说法是何时删除密钥，因为为了诚实起见，您必须考虑像TLS会话恢复设计错误这样的漏洞，即尽管使用‘PFS’密码套件，但没有擦除密钥。密钥删除意味着在不破坏密码系统的情况下，明文就无法恢复。当然，随着密码分析的突破，所有的赌注都取消了。

在未来的几十年里，量子密码分析的威胁即将来临，这将使我们能够用预量子密钥协议对所有过去的TLS会话进行追溯解密。这就是为什么我们正在努力尽快部署后量子密钥协议，比如NIST PQCRYPTO竞争。