为什么Argon2赢了PHC？

Question

我一直在阅读Argon2 (以及其他最近的密码哈希器)。我想弄明白为什么它会赢下决赛，比如凯迪纳，Lyra2，马克瓦或者是叶斯密特。

不幸的是，我没有看到太多的技术讨论在比赛的网站上。它确实链接到邮寄名单档案，但由于一些链接中断，我找不到实际的邮件列表(虽然我还没有尝试NNTP选项，因为我没有NNTP客户端)。我不清楚这是暂时的问题还是永久性的问题。

我有两个与此密切相关的问题，我希望对这两个问题有深入的了解：

• 我一直认为PHC是一种公认的、运行良好的竞争对手，被认为是在密码哈希方面的最先进水平。围绕这一问题是否存在任何明显的争议，例如对小组、提交材料或获胜者甄选程序的严重关切？
• 与其他入围者相比，有哪些关键因素导致Argon2被PHC小组宣布为赢家？

Answer 1

我曾经参加过几次密码竞赛(AES，eSTREAM，SHA-3，PHC).他们中的每一个人，都会说出一些苦涩的话，痛哭流涕，抱怨选拔过程的不公平。只是人们是这样的，而且非常擅长密码学并不能阻止聪明的密码学家成为基本的人。

邮件列表是在Gmane上托管的，Gmane是一个免费的资源，由某人在业余时间保存。2016年7月，他决定他受够了 (他厌倦了反复发生的DoS攻击)。然而，PHC邮件列表档案是由Alexander (又名“太阳能设计师”，他是yescrypt候选人)找回和重新上网的。例如，您可以看到获胜者公告那里。

Answer 2

我同意Thomas的回答，但在小组中有一个引人注目的批评。第二轮比赛实际上只允许轻微的调整。a转而使用Argon2，这更像是一种新的方案，而不是一次调整。我欢迎专家组非官僚主义地决定接受Argon2，但这在形式上是令人反感的。

当然，第二个问题的答案是有点推测性。在第二轮中还有九种方案，所以排除其他方案可能会回答你的问题。Makwa (也是并行的)并不适合于密码散列的所有目的。柚子不是基于Blake2或SHA3等经过批准的算法，而且对它的研究也太少。巴特茅斯和河豚的记忆力比氪鱼要小。在讨论了缓存计时电阻与内存硬度之间的关系后，该面板显然更倾向于一种抗缓存计时的方案。Yescrypt不是，Lyra2只是一个混合方案(如Argon2id和Pomelo)。在第二轮中只剩下两种完全抵抗缓存计时的方案: Catena和Argon2i。Argon2i具有更好的性能，主要是由于并行性的使用。这意味着，在给定的时间内，Argon2i比Catena变体更难存储。这个决定是可以批评的，但我认为是可以理解的。

Answer 3

一些资源：

1. Argon2：纸和GitHub回购
2. 纸，好论文和GitHub回购
3. Makwa：纸
4. 叶斯密特：纸
5. Lyra2：纸和GitHub回购
6. 一个包含第1轮提交的GitHub存储库
7. A 具有第2轮性能分析的GitHub存储库 (但不是官方的，iirc)。
8. 比较候选人：福勒等人，Biryukov和Khovratovich，常等人，当然还有其他的论文。

另一个答案有一个非常重要的想法:密码哈希竞争并不能真正为您提供关于如何散列密码的明确答案和配方。相反，它引发了许多关于内存硬散列函数的研究。PHC的入围者有一些非常不同的核心: Makwa对Blum整数做了些什么，Catena主要是关于位反转图，Lyra2是新的Sponge热度，Argon2可能是最完美的(例如，一家本地搜索巨头最近推出了一款开源优化Argon2，并将其发布到新闻中)。

所以，至少对我来说，似乎没有人会告诉你该选择什么。相反，你必须花上几个小时才能理解细节，做出明智的决定。也许你需要一些独特的功能，如服务器救济，托管或其他什么(并不是所有的方案都提供额外的好处)。如果这是一种安慰的话，那么对于一个普通的单身汉学生来说，Lyra2很容易在3个月内就能理解，并且能够用一种不同的语言重新实现。看看我的GitHub，我的与参考的比较 (我更糟)和一个android应用程序。