BCRYPT-为什么Linux发行版默认不使用它?

Answers:

4

有两个原因:

  1. 基于BCrypt的方案未经NIST批准。

  2. 哈希函数就是为这种用法而设计的,而河豚则不是。

  3. BCrypt所增加的安全性是基于它的计算量,而不是算法的类型。依靠计算量大的操作不利于长期的安全性。

有关此方面的讨论,请参见http://en.wikipedia.org/wiki/Crypt_%28Unix%29


source
7
正是因为计算量大,才将bcrypt用于此应用程序。
pdo
2
@rob4。bcrypt添加了一个不存在的依赖项,其中sha1和sha2是glibc的一部分
xenoterracide 2011年
我在第3点说
罗布
抱歉,我会更加清楚。计算量大,加上可配置的回合数,正是这对于长期安全性而言是一个很好的方案。随着硬件变得越来越快,它允许检查哈希的成本增加。原来的文件,说明bcrypt实际上题为“面向未来的适应密码方案”(usenix.org/events/usenix99/provos/provos_html
PDO
@pdo我不认为可以增加回合数来抵消点3的能力。可能是其他回合以某种方式相互抵消,从而对基础算法进行了未来的密码分析攻击。
罗布
1

默认情况下,OpenSUSE 11.4(至少)确实使用Bcrypt。

do
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.