WikiSort.ru - Не сортированное

Заполнение блоков памяти

${\displaystyle B[0]=H(P,S)}$

${\displaystyle B[j]=G(B[\phi _{1}(j)],B[\phi _{2}(j)],...,B[\phi _{k}(j)])}$ , ${\displaystyle j=1...t}$ , где

${\displaystyle \phi _{k}(j)}$  — функция индексирования, ${\displaystyle B[]}$  — массив памяти, ${\displaystyle G}$  — функция сжатия, ${\displaystyle P}$  — сообщение(пароль), ${\displaystyle H}$  — хеш-функция Blake2b.

Функции индексирования зависит от версии алгоритма Argon2:

• Argon2d — ${\displaystyle \phi }$ зависит от предыдущего блока

• Argon2i — ${\displaystyle \phi }$ значение, определяемое генератором случайных чисел.

В случае последовательного режима работы функция сжатия применяется ${\displaystyle m}$ раз. Для версии Argon2d на ${\displaystyle i}$ -м шаге на вход функции ${\displaystyle G}$ подается блок с индексом ${\displaystyle \phi (i)}$ , определяемый предыдущим блоком ${\displaystyle \phi (i)=g(B[i])}$ . Для версии Argon2i берется значение генератора случайных чисел (${\displaystyle G}$ в режиме счетчика).

В случае параллельного режима (алгоритм распараллеливается на ${\displaystyle p}$ тредов) данные распределятся по блокам матрицы ${\displaystyle B[i][j]}$ , где первые блоки — результат хеширования входных данных, а следующие задаются функцией сжатия ${\displaystyle G}$ по предыдущим блокам и опорному блоку ${\displaystyle B^{1}[i'][j']}$ :

${\displaystyle B^{1}[i][0]=H'(\ H_{0}\ ||\ {\underset {4bytes}{0}}\ ||\ {\underset {4bytes}{i}}\ ),0\leq i<p}$

${\displaystyle B^{1}[i][1]=H'(\ H_{0}\ ||\ {\underset {4bytes}{1}}\ ||\ {\underset {4bytes}{i}}\ ),0\leq i<p}$

${\displaystyle B^{1}[i][j]=G(B^{1}[i][j-1],B^{1}[i'][j']),0\leq i<p}$

${\displaystyle B^{t}[i][0]=G(B^{t-1}[i][q-1],B^{1}[i'][j'])\oplus B^{t-1}[i][0]}$

${\displaystyle B^{t}[i][j]=G(B^{t}[i][j-1],B^{1}[i'][j'])\oplus B^{t-1}[i][j]}$

${\displaystyle q={m' \over p}\ \ \ \ \ m'=\lfloor {m \over 4p}\rfloor 4p}$ , где ${\displaystyle m'}$  — количество блоков памяти размером 1024 байта, ${\displaystyle H_{0}}$  — хеш-функция, принимающая на вход 32-битное представление входных параметров, на выходе которой — 64-битное значение, ${\displaystyle H'}$  — хеш-функция переменной длины от ${\displaystyle H}$ , ${\displaystyle m}$  — объём памяти, ${\displaystyle t}$  — количество итераций.

В итоге:

${\displaystyle B_{final}=B^{T}[0][q-1]\oplus B^{T}[1][q-1]\oplus ...\oplus B^{T}[p-1][q-1]}$

${\displaystyle Tag\leftarrow H'(B_{final})}$ ^[5]

Нахождение опорного блока

• Argon2d: выбираются первые 32 бита для ${\displaystyle J_{1}}$ и следующие 32 бита для ${\displaystyle J_{2}}$ из блоков ${\displaystyle B[i][j-1]}$
• Argon2i: ${\displaystyle (J_{1}||J_{2})=G^{2}(null_{1024},{r||l||s||m'||t||y||i||null_{968}})}$ , где ${\displaystyle r}$ - номер итерации, ${\displaystyle l}$  — номер линии, ${\displaystyle y}$  — задает версию (в данном случае единица)

Далее определяется индекс ${\displaystyle l=J_{2}mod\ p}$ строки, откуда берется блок. При ${\displaystyle r=0,s=0}$ за текущий номер линии принимается значение ${\displaystyle l}$ . Затем определяется набор индексов ${\displaystyle R}$ по 2 правилам:

1. Если ${\displaystyle l}$ совпадает с номером текущей строки, то в набор индексов добавляются все не записанные ранее блоки без ${\displaystyle B[i][j-1]}$
2. Если ${\displaystyle l}$ не совпадает, то берутся блоки из всех сегментов линии и последних ${\displaystyle S-1=3}$ частей.

В итоге, вычисляется номер блока из ${\displaystyle r}$ , который принимается за опорный:

${\displaystyle z=|R|-1-({\frac {|R|*((J_{1})^{2}/2^{32})}{2^{32}}})}$ ^[6]

Функция H'

Blake2b — 64 битная версия функции BLAKE, поэтому ${\displaystyle H'}$ строится следующим образом:

${\displaystyle if\ \tau \ \leq \ 64}$

${\displaystyle H'(X)=H_{\tau }(\tau ||X).}$

При больших ${\displaystyle \tau }$ выходное значение функции строится по первым 32 битам блоков — ${\displaystyle A_{i}}$ и последнему блоку ${\displaystyle V_{i}}$  :

${\displaystyle r=\lceil \tau /32\rceil -2}$

${\displaystyle V_{1}\longleftarrow H_{64}(\tau ||X)}$

${\displaystyle V_{r+1}\longleftarrow H_{\tau -32r}(V_{r})}$

${\displaystyle H'(X)=A_{1}||A_{2}||...A_{r}||V_{r+1}}$

Функция сжатия G

Основана на функции сжатия ${\displaystyle P}$ Blake2b. На вход получает два 8192-битных блока и вырабатывает 1024-битный блок. Сначала два блока складываются (${\displaystyle A=X\oplus Y}$ ), затем матрица ${\displaystyle A_{8,8}}$ обрабатывается функцией ${\displaystyle P}$ построчно (${\displaystyle A\longrightarrow Q}$ ), затем получившаяся матрица обрабатывается по столбцам (${\displaystyle Q\longrightarrow Z}$ ), и на выходе G выдается ${\displaystyle Z\oplus A}$ ^[6].

Memory optimization attack

Dan Boneh^[en]*, Henry Corrigan-Gibbs и Stuart Schechter в своей работе показали уязвимость Argon2i версии 1.2. Для однопроходной версии их атака снижала расход памяти в 4 раза без замедления выполнения. Для многопроходной версии — в 2,72 раза. Позднее, в версии 1.3 операция перезаписи была заменена на XOR^[8].

AB16

Joel Alwen и Jeremiah Blocki в своих работах доказали, что их алгоритм атаки AB16 эффективен не только для Argon2i-A (из первой версии спецификации), но и для Argon2i-B (из последней версии 1.3). Они показали, что атака на Argon2 при ${\displaystyle t=6}$ , используя 1 GB ОЗУ, снижает время вычисления в два раза. Для эффективной защиты необходимо задать больше 10 проходов. Но при рекомендуемом подходе выбора параметров алгоритма на практике часто может выбираться всего лишь 1 проход. Разработчики Argon2 утверждают, что, применяя атаку AB16 на Argon2i-B при ${\displaystyle t\geq 4}$ , время уменьшается не более чем в 2 раза вплоть до использования 32 GB памяти и рекомендуют использовать число проходов, превышающее значение двоичного логарифма от используемой памяти^[9].

The ranking tradeoff attack

Данная атака является одной из самых эффективных для Argon2d. Она снижает время обработки в 1,33 раза. Для Argon2i при ${\displaystyle t>2}$ коэффициент равен 3 ^[10].

Garbage Collector Attacks

Основным условием для представленной атаки является доступ злоумышленника к внутренней памяти целевой машины либо после прекращения схемы хеширования, либо в какой-то момент, когда сам пароль ещё присутствует в памяти. Благодаря перезаписи информации с помощью функции ${\displaystyle G}$ , Argon2i и Argon2d устойчивы к данным атакам^[11].