keystore密钥文件使用的算法-PBKDF2WithHmacSHA1 和Scrypt

PBKDF2

简单而言就是将salted hash进行屡次重复计算，这个次数是可选择的。若是计算一次所须要的时间是1微秒，那么计算1百万次就须要1秒钟。假如攻击一个密码所需的rainbow table有1千万条，创建所对应的rainbow table所须要的时间就是115天。这个代价足以让大部分的攻击者忘而生畏

实现：

DK = PBKDF2(P，S，c，dkLen)

可选项： RPF 基本伪随机函数(hLen表示伪随机函数输出的字节长度)

输入：
　　P 口令，一字节串
　　S 盐值，字节串 salt

　　c 迭代次数，正整数

　　dkLen 导出密钥的指定字节长度，正整数，最大约(2^32-1)*hLen

输出： DK 导出密钥，长度dkLen字节

 

步骤：

1． 若是dkLen>(2^32-1)*hLen，输出“derived key too long”并中止。
2． 假设l是导出密钥的hLen长度的字节块的个数，r表示最后一个块的字节数。

　　l = CEIL (dkLen / hLen) ,
　　r = dkLen - (l - 1) * hLen .

　　这里，CEIL(x)是“ceiling”函数，即，大于或等于x的最小整数。

3. 对于导出密钥的每一块，运用函数F于口令P、盐S、迭代次数c和块索引以计算块：

　　T_1 = F (P, S, c, 1) ,
　　T_2 = F (P, S, c, 2) ,
　　...
　　T_l = F (P, S, c, l) ,

　　这里函数F定义为基本伪随机函数PRF应用于口令P和盐S的串联和块索引i的前c次循环的异或和。

　　F (P, S, c, i) = U_1 \xor U_2 \xor ... \xor U_c

　　其中

　　U_1 = PRF (P, S || INT (i)) ,
　　U_2 = PRF (P, U_1) ,
　　...
　　U_c = PRF (P, U_{c-1}) .

　　这里，INT(i)是整数i的四字节编码，高字节在先。

4． 串联各块，抽取前dkLen字节以产生导出密钥DK：

　　DK = T_1 || T_2 || ... || T_l<0..r-1>

5． 输出导出密钥DK。

　　注意：函数F的构造遵循“belt-and-suspenders”方法。U_i次循环被递归计算以消除敌手的并行度；它们被异或到一块儿以减小有关递归退化到一个小的值集的担心。

{
  "crypto":{
    "cipher":"aes-128-ctr",
    "cipherparams":{
      "iv":"6087dab2f9fdbbfaddc31a909735c1e6"
    },
    "ciphertext":"5318b4d5bcd28de64ee5559e671353e16f075ecae9f99c7a79a38af5f869aa46",
    "kdf":"pbkdf2",
    "kdfparams":{
      "c":262144,//迭代次数
      "dklen":32,//导出密钥的指定字节长度
      "prf":"hmac-sha256",//基本伪随机函数，用于迭代中的计算函数
      "salt":"ae3cd4e7013836a3df6bd7241b12db061dbe2c6785853cce422d148a624ce0bd"//盐值
    },
    "mac":"517ead924a9d0dc3124507e3393d175ce3ff7c1e96529c6c555ce9e51205e9b2"
  },
  "id":"3198bc9c-6672-5ab3-d995-4942343ae5b6",
  "version":3
}

⚠️hmac是Hash-based Message Authentication Code的简写，就是指哈希消息认证码，包含有不少种哈希加密算法，sha256是其中一种。因此hmac-sha256的意思就是使用sha256哈希算法

 

scrypt

https://tools.ietf.org/html/rfc7914(RFC 7914《The scrypt Password-Based Key Derivation Function》关于算法的描述)

https://zhuanlan.zhihu.com/p/32484253

scrypt是由著名的 FreeBSD黑客 Colin Percival为他的备份服务 Tarsnap开发的。

和上述两种方案不一样， scrypt不只计算所需时间长，并且占用的内存也多，使得 并行计算多个摘要异常困难，所以利用rainbow table进行暴力攻击更加困难。scrypt没有在生产环境中大规模应用，而且缺少仔细的审察和普遍的函数库支持。可是，scrypt在算法层面只要没有破绽，它的安全性应该高于PBKDF2和bcrypt。

 

Scrypt算法会产生一个p个块元素的数组，p的值大概比2^31（42亿）小几个数量级，实际使用中多是十万~百万级别吧？对于每一个块元素，都是进行一系列复杂运算生成的哈希值，最后对整个数组再进行PBKDF2-HMAC-SHA256运算获得最终结果。

Scrypt算法保证只有将每一个元素都存放在内存中，最后才能算出正确的结果，从算法层面保证了对大量内存空间的硬需求，从而提升了运算成本。

{
  "address":"a9886ac7489ecbcbd79268a79ef00d940e5fe1f2",
  "crypto":{
    "cipher":"aes-128-ctr",
    "cipherparams":{
      "iv":"c542cf883299b5b0a29155091054028d"
    },
    "ciphertext":"0a83c77235840cffcfcc5afe5908f2d7f89d7d54c4a796dfe2f193e90413ee9d",
    "kdf":"scrypt",
    "kdfparams":{
      "dklen":32,//导出密钥的指定字节长度
      "n":262144,//迭代次数
      "r":8,//底层哈希的块大小。默认为8
      "p":1,//并行化的因素。默认为1
      "salt":"699f7bf5f6985068dfaaff9db3b06aea8fe3dd3140b3addb4e60620ee97a0316"//盐值
    },
    "mac":"613fed2605240a2ff08b8d93ccc48c5b3d5023b7088189515d70df41d65f44de"
  },
  "id":"0edf817a-ee0e-4e25-8314-1f9e88a60811",
  "version":3
}

 salt 的定义是经过一个单向函数获取随机数据来为密码或口令添加一些额外的数据。更简单的说法则是经过生成一些随机的文本将其附加到密码上来生成 Hash。

为 Hash 加 salt 的主要目的是用来防止预先被计算好的彩虹表攻击。

如今加  salt 好处是将本来一次比较变为屡次比较从而减慢对密码 Hash 值的猜想，不然对 Hash 密码库的破解效率将是很是之高。

bcrypt

bcrypt是专门为密码存储而设计的算法，基于 Blowfish加密算法变形而来，由Niels Provos和David Mazières发表于1999年的USENIX。

bcrypt最大的好处是有一个参数（work factor)，可用于调整计算强度，并且work factor是包括在输出的摘要中的。随着攻击者计算能力的提升，使用者能够逐步增大work factor，并且不会影响已有用户的登录。

bcrypt通过了不少安全专家的仔细分析，使用在以安全著称的OpenBSD中，通常认为它比PBKDF2更能承受随着计算能力增强而带来的风险。bcrypt也有普遍的函数库支持，所以咱们建议使用这种方式存储密码。

 

有一个在线的哈希加密工具https://1024tools.com/hmac