вт
14
июля
ит
Стартовал конкурс PHC инициативы по разработке новых методов хэширования паролей
В рамках конкурса Password Hashing Competition (PHC) предпринята попытка выявления новых схем хэширования паролей с целью стимулирования задействования надёжных схем защиты паролей.
16 февраля 2013 09:33


Работы будут приниматься до 31 января 2014 г., после чего начнётся этап анализа предложенных работ и выявления наиболее оптимальных решений. В третьем квартале 2014 г. будут объявлены финалисты из которых до второго квартала 2015 года планируется выделить одного или нескольких победителей.

Текущее состояние в области защиты паролей оценивается как неприемлемое - web-сервисы зачастую хранят пароли пользователей в открытом виде или применяют ненадёжные методы хэширования, такие как MD5 или SHA-1, для которых разработаны эффективные методы подбора паролей, сообщает OpenNews.  Из стандартов формирования ключей на основе паролей доступен только PBKDF2 (PKCS#5, NIST SP 800-132), а из альтернативных реализаций выделились только bcrypt и scrypt. Указанные системы не лишены недостатков и в сообществе витают идеи по созданию новых методов хэширования, но подобные инициативы имеют разрозненный и случайных характер.

Конкурс PHC призван увлечь заинтересованных лиц и придать их работам востребованный и осмысленный характер, передает OpenNews.

Методы проведения конкурса построены на основе принципов, применяемых в таких криптографических конкурсах, как AES, eSTREAM и SHA-3.

Из технических требований - минимум поддержка хэширования паролей размером от 0 до 128 символов, использование 16-байтового salt и наличие возможности регулирования параметров работы алгоритма с точки зрения скорости работы и расхода памяти. Эталонные реализации должны быть подготовлены на языке C или C++, допускается использование стандартных функций библиотеки libcrypto (например, реализаций AES или SHA-256). Методы не должны покрываться запатентованными технологиями и должны распространяться без ограничений и на условиях не требующих выплаты отчислений.

Критерии оценки:  безопасность (стойкость к коллизиям, случайно выглядящий вывод, невозможность обратного преобразования, невозможность получения сведений о характере пароля через анализ хэша, противостояние методам перебора, трудность распараллеливания подбора, стойкость к акселерации подбора с использованием ASIC, FPGA и GPU);  простота (общая ясность схемы, простота реализации - с позиции кодирования, тестирования, отладки и интеграции, - минимум привязки к внешним примитивам или конструкциям); функциональность (эффективность с позиции тюнинга параметров работы, возможность изменения параметров - скорость работы и расход памяти, для существующего хэша без наличия пароля). 

Поделиться ссылкой в:
Версия для печатиВставить в блог

читайте также
фото месяца

Mriya Resort & SPA — лучший отель в Европе

новости

все новости


SOCPUBLIC.COM - заработок в интернете!