128位键的AES256

Question

一个流行的零知识文件共享网站使用128位主密钥进行加密.

然而，他们声称正在使用AES256。当被询问时，他们解释说，使用PBKDF2和随机盐将主密钥加宽到256位。

从技术上讲，这还能被称为AES256吗？这种由128位扩阔至256位的做法是否可以接受？

编辑:我没有更详细的信息，他们的过程。

Answer 1

AES-256是一种特定的算法，无论您每次使用密钥3e9e98e31ba18d8d18283aceb3c6e17016b729e1363afc5bea8bf7df295b03e9，还是从某个密码派生带有PBKDF2的密钥，还是通过掷硬币256次选择密钥，都是相同的算法。

所以这不是矛盾。但这并不意味着他们的系统不充满危险信号！

1. 他们滥用密码学文献中的技术术语“零知识”，这表明他们的营销部门比他们的密码部门更有资金支持。
2. 很难想象为什么他们会使用128位的主键，然后用PBKDF2来扩展它。如果128位主密钥实际上是一个密码，那么就没有理由将其限制在128位空间；如果它是随机一致选择的，那么很难想象他们负担不起256位密钥的额外存储--尤其是如果他们还在存储盐！-and没有理由使用像PBKDF2这样昂贵的东西而不是(例如) HKDF。
3. 他们隐藏了自己的设计，这表明他们对此感到非常尴尬，他们不想让任何人看到这件事有多糟糕，因为这可能会损害他们的业务。(但他们可能会自圆其说，假装其他企业会抄袭他们糟糕的设计，这将是愚蠢的，因为显然有更好的公共设计可供选择，或者对手无法搞清楚，这将是愚蠢的，因为设计比钥匙更难隐藏，就像一个多世纪前Kerckhoff观察到的那样。)

Answer 2

是的，这是一种被广泛接受的实现技术。pbkdf2是一种密钥扩展算法(密钥派生函数)，用于创建一个更能抵御传统蛮力攻击的密钥。它通过对初始提供的密钥反复计算MAC或哈希函数来获得更长、更有弹性的密钥。这也是一种设计缓慢的算法，它增加了攻击者试图强行使用整个密钥空间所需的计算资源，从而限制了加密数据被窃取的影响。

它需要一个较短的键，然后慢慢地扩展成一个更大的键。这会增加攻击者破解密钥所需的持续时间。然后将此密钥用于AES加密。所以，是的，他们正在使用AES-256与pbkdf2进行密钥扩展，这是很好的。

我想补充的一点是，从攻击者的角度来看，如果他们不知道pbkdf2正在使用，那么他们恢复密钥数据的可能性就会降低得多。因为它们无法针对关键的口令尝试计算pbkdf2，所以它们必须专门针对256位中的每一位。如果他们知道pbkdf2在使用的话，他们就不能像他们一样发布一个单词列表。

不过，我会更多地考虑他们关于零知识的主张，以及关于这一点的证据在哪里。但这能回答你的问题吗？