¿Existe el riesgo de usar algoritmos de cifrado AEAD cuando la clave se genera a partir de una contraseña?

Question

¿Existe el riesgo de usar algoritmos de cifrado AEAD cuando la clave se genera a partir de una contraseña?

#1 de Xander (2 votos)
#2 de Elias (2 votos)

3

Necesito cifrar algo en un teléfono inteligente. Los datos son relativamente pequeños y se almacenarían encriptados en el teléfono.

Estaba pensando en AES-GCM con una clave generada por una contraseña (elegida por el usuario de la aplicación), pero me pregunto si existe un riesgo, con cifrado autenticado, de que un atacante pueda usar el MAC como un oráculo para fuerza bruta la contraseña de la que se deriva la clave.

¿Cuál es tu opinión sobre esto? ¿Debo mantenerme alejado del cifrado autenticado cuando utilizo claves derivadas basadas en contraseña?

Gracias por sus comentarios.

encryption pbkdf2 oracle

pregunta NGU 14.10.2016 - 11:15

fuente

2 respuestas

Lea otras preguntas en las etiquetas encryption pbkdf2 oracle

El antivirus está deshabilitado por una fuente o aplicación desconocida S / MIME correo electrónico firmado, CRL?

score 2 · Answer 1

Una de las propiedades de seguridad de un PBKDF es que no debe ser reversible. No debería poder obtener la contraseña, incluso si conoce la clave, sin probar exhaustivamente las contraseñas candidatas ejecutándolas a través del KDF hasta que encuentre la salida correspondiente.

Entonces, no, no creo que el ataque que estás considerando sea de hecho una amenaza. Usted debería utilizar una función PBKDF apropiada con un factor de trabajo tan alto como sea razonable para proteger la contraseña de los ataques de diccionario en la medida de lo posible, pero la contraseña no será recuperable de la clave, y mucho más. Menos del propio MAC.

score 2 · Answer 2

Si usa un buen PBKDF (como Argon2 ) el forzado de las contraseñas se ralentiza con el primer paso, que es convertir la contraseña en la clave. Por lo tanto, su fuente de baja entropía (la contraseña) está protegida al ralentizar este proceso.

En pasos posteriores, la clave debería parecer que se tomó una muestra aleatoria de un espacio más grande y el atacante no se beneficiará al saber que proviene de una contraseña.

En resumen: un PBKDF hace cosas

para producir una clave derivada, que luego se puede utilizar como criptografía Tecla en operaciones posteriores.

(de Wikipedia )

Que es exactamente lo que quieres.