是什么阻止我们开始在生产中使用氪星？

Question

在阅读了大量关于密码散列的专家意见之后，我了解到scrypt (内存硬和CPU密集)是密码哈希的好选择。但我看到专家建议至少等待5年，直到彻底的同行评审和烘焙(鸡肉和鸡蛋问题？:)

• 2015年，我们能否大胆尝试，满怀信心地开始使用氪星？
• 是否有计划使这成为NIST和其他标准机构的标准/建议？

参1

参2

Answer 1

如果我们想找出合理的理由现在不使用scrypt，我们可以找到以下三种：

• 尚不清楚是否需要一个“内存硬”函数，而参数配置由scrypt支持。最初的设计是为了支持本地加密，特别是整个系统的加密.这意味着在系统启动过程中必须对密码进行散列；那时，计算机没有其他事情可做，因此整个CPU和RAM都可用于单个闪存；而且由于启动已经花费了不可忽略的时间，所以密码哈希超过5秒或10秒并不困难。一个典型的服务器需要一种独特的配置，它使用较少的RAM (如果服务器必须为多个客户端服务，而不是在峰值负载下崩溃)，则需要更少的RAM(如果服务器必须为多个客户端服务，而不是在峰值负载下崩溃)，则需要更少的RAM(因为用户不耐心，所以应该在1秒内完成Web站点身份验证；而且，在那里，我们必须再次考虑峰值负载)。当配置为“服务器使用”时，scrypt是否比bcrypt更好还有待观察；事实上，如果您需要将CPU使用量降低到每个散列大约1ms，那么scrypt使用的RAM要比bcrypt少，因此bcrypt是一个更好的选择。
• 就记忆硬度而言，氪星的效果并不尽如人意。一些基于GPU的优化仍然可以与时间-内存的权衡。攻击者的收益并不是破坏性的，但是如果我们要更改密码哈希函数，那么我们也可以尝试找到一个实现其承诺的函数。

这些问题和其他信息可以在这份报告中找到。总结一下:虽然在短消息设计中表达的观点相当有趣，但密码专家们的普遍感觉是，应该进行更多的研究；事实上，这促使了PHC：一场公开的竞争，这是一场开放的竞争，这是一场以AES、SHA-3或eSTREAM等以往努力的精神进行的竞争，在这里提出并审查了新的候选人。

如果您现在在生产中部署scrypt，那么它应该是相当强大的，尽管它取决于您选择的参数。这是5年的研究得出的主要结论:密码学是健全的，有一个时间-内存交换-这并不是该死的，但我们没有太多的指导，如何配置它的方式，将在典型的服务器工作良好。