加密快车。js PBKDF2 HMAC-SHA1是否足够？

SHA-1已损坏，但并不意味着使用不安全；SHA-256（SHA-2）或多或少是未来的证明和长期替代品。破碎只意味着比暴力更快，但不一定可行或切实可行。

另见此答案：https://crypto.stackexchange.com/questions/3690/no-sha-1-collision-yet-sha1-is-broken

函数被破坏通常只意味着我们应该开始迁移到其他更强大的函数，而不是说有实际的危险。攻击只会变得更强，所以一旦第一个裂缝开始出现，考虑其他方案是个好主意。

我们提供的keylen是我们想要的SHA的变体吗？像SHA-256,512等等？

当您声明您正在对密码进行散列时，@CodesInChaos是右-keylen（即PBKDF2输出的长度）最多是HMAC本机散列函数的位数。

• 对于SHA-1，那是160位（20字节）
• 对于SHA-256，这是256位（32字节），等等。
• 这样做的原因是，如果你要求比哈希函数支持的更长的哈希（keylen），第一个本机长度是相同的，所以攻击者只需要攻击位。这是Hashcat团队发现并修复的问题1Password。

举例作为证明：

这里有22个字节的PBKDF2-HMAC-SHA-1-这是一个本机哈希大小2个字节（总共需要8192次迭代！-前4096次迭代生成前20个字节，然后我们再对集合进行4096次迭代！）：

• pbkdf2 sha1"密码""盐"4096 22
  • 4b007901b765489abead49d926f721d065a429c12e46

  这里只得到了PBKDF2-HMAC-SHA-1的前20个字节，即恰好一个本机散列输出大小（总共需要4096次迭代）

  • pbkdf2 sha1“密码”“salt”4096 20
    • 4b007901b765489abead49d926f721d065a429c1

    即使您存储了22个字节的PBKDF2-HMAC-SHA-1，攻击者也只需要计算20个字节。。。这需要大约一半的时间，为了得到字节21和22，计算另一组完整的HMAC值，然后只保留2个字节。

    • 是的，你是对的；对于PBKDF2-HMAC-SHA-1，21个字节的时间是20个字节的两倍，而实际上，40个字节的时间与21个字节的时间一样长。然而，41字节的长度是20字节的三倍，因为41/20介于2和3之间，是互斥的

    HMAC如何改变输出？

    HMAC RFC2104是一种为散列函数设置密钥的方法，特别是当您将密钥和文本简单地连接在一起时，这些函数具有弱点。HMAC-SHA-1是HMAC中使用的SHA-1；HMAC-SHA-512是HMAC中使用的SHA-512。

    最后，当SHA1断开时，它是否足够坚固？

    如果你有足够的迭代次数（2014年上万次到下几十万次或更多次），那么应该没问题。PBKDF2-HMAC-SHA-512尤其具有一个优势，即它在当前图形卡（即许多攻击者）上的性能比在当前CPU（即大多数防御者）上的性能差得多。

    对于黄金标准，请参阅@ThomasPornin在SHA-1密码存储安全吗中给出的答案？其中一小部分是“对MD4、MD5和SHA-1的已知攻击是关于碰撞的，不影响预映像抗性。已经表明，MD4有一些弱点，当试图打破HMAC/MD4时，可以（仅在理论上）利用这些弱点，但这并不适用于您的问题。Kesley和Schneier在论文中提出的2106秒前置映像攻击是一个通用的权衡，它只适用于非常长的输入（260字节；那是一百万太字节——注意106 60如何超过160；这就是你看到权衡没有什么魔力的地方在里面）。"