PBKDF2

Kriptografi alanında, PBKDF1 ve PBKDF2 (Password-Based Key Derivation Function 2) olarak bilinen anahtar türetme fonksiyonları şifrelenmiş anahtarları kaba kuvvet saldırılarına karşı güçlendirmek amacıyla geliştirilmiştir.

PBKDF2, RSA laboratuvarı'na ait Açık Anahtarlı Şifreleme Standartları bünyesinde yer almaktadır. Spesifik olarak, PKCS #5 v2.0 adıyla bilinmektedir ve IETF tarafından yayınlanmıştır RFC 2898.^[1] Öncüsü olan PBKDF1 sadece 160 bit uzunluğunda anahtarlar üretebildiği için geliştirilmiştir.^[2] 2017'de yayınlanan RFC 8018, parola özeti (password hashing) için PBKDF2'yi önermektedir.^[3]

PBKDF2, verilen bir parola ve tuzu, sözde-rastgele bir fonksiyondan (özet-tabanlı mesaj doğrulama kodu (HMAC) gibi) birçok kez peş peşe geçirerek, kriptografik anahtar olarak kullanılabilecek bir türetilmiş anahtar üretir. Bu sırada harcanan bilgisayar gücü, parola kırma işlemini çok daha zor hale getirmektedir. Buna anahtar esnetme de denmektedir.

2000 yılında bu standart yazıldığında, önerilen iterasyon sayısı 1000 olarak belirtilmiştir ancak işlemcilerin gücü arttıkça iterasyon sayısının da arttırılması planlanmıştır. 2005 yılında, bir Kerberos standartı 4096 iterasyon önermiştir.^[4] Apple iOS 3 için 2000 ve iOS 4 için 10000 iterasyon kullandığını duyurmuştur.^[5] LastPass ise 2011 yılında JavaScript istemcileri için 5000 ve sunucu-tarafı için 100000 iterasyon kullandığını belirtmiştir.^[6]

Parolalara tuz eklemek, ataklar sırasında önceden hesaplanmış özetlerin (hash değerlerinin) kullanılmasının (gökkuşağı tabloları) önüne geçer. Bu sayede, şifrelerin hepsi aynı anda test edilememekte; bunun yerine, teker teker test edilmesi gerekmektedir. Bu standartta, tuz uzunluğu olarak en az 64 bit önerilmektedir.^[7] Birleşmiş Devletler Standart ve Teknoloji Enstitüsü ise tuz uzunluğu olarak 128 bit önermektedir.^[8]

PBKDF2 anahtar türetim fonksiyonunun 5 parametresi bulunmaktadır:^{[kaynak belirtilmeli]}

DK = PBKDF2(PRF, Password, Salt, c, dkLen)

• PRF: 2 parametre alan ve çıktı uzunluğu hLen olan sözde-rastgele bir fonksiyon (örneğin, HMAC)
• Password: türetilmiş anahtar üretmek için kullanılan asıl parola
• Salt: tuz (kriptografi) olarak bilinen bir sıra bit
• c: arzulanan iterasyon sayısı
• dkLen: türetilmiş anahtarın arzulanan uzunluğu
• DK: türetilmiş anahtar

Türetilmiş anahtar DK'nın, hLen uzunluğundaki her bloğu (T_i) aşağıdaki şekilde hesaplanır (|| konkatinasyon işlemini temsil etmektedir):

DK = T1 || T2 || ... || Tdklen/hlen
Ti = F(Password, Salt, c, i)

F fonksiyonu, c iterasyon boyunca zincirlenerek uygulanmış PRF işleminin xor (^) edilmiş halidir. PRF fonksiyonunun ilk iterasyonunda Password anahtar olarak kullanılır ve 32-bit big-endian olarak kodlanmış i ile konkatine edilmiş olan Salt tuz olarak kullanılır. Bundan sonraki iterasyonlarda ise Password hala anahtar olarak kullanılmaya devam edilir fakat tuz olarak PRF fonskiyonunun bir önceki çıktısı kullanılır. F fonksiyonunun formal olarak tanımı aşağıda verilmiştir:

F(Password, Salt, c, i) = U1 ^ U2 ^ ... ^ Uc

U1 = PRF(Password, Salt || INT_32_BE(i))
U2 = PRF(Password, U1)
...
Uc = PRF(Password, Uc-1)

Örneğin, WPA2 aşağıdaki parametreleri kullanmaktadır:

DK = PBKDF2(HMAC−SHA1, passphrase, ssid, 4096, 256)

PBKDF2, sözde-rastgele fonksiyon olarak HMAC kullandığında, ilginç bir özelliğe sahiptir: İstenilen miktarda çakışan parola çiftleri kolayca oluşturulabilmektedir.^[9] Eğer verilen parola, kullanılan HMAC fonksiyonundaki blok boyutundan uzunsa, parola ilk önce bir özet (İhash) fonksiyonundan geçirilir ve parola yerine bu değer kullanılır. Örneğin, aşağıdaki parola çok uzundur:

• Password: plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd

Bundan dolayı, (örneğin HMAC-SHA1 kullanırken) aşağıdaki gibi SHA-1 fonksiyonundan geçirilir:

• SHA1 (hex): 65426b585154667542717027635463617226672a

Bu değer ASCII olarak aşağıdaki gibi ifade edilebilir:

• SHA1 (ASCII): eBkXQTfuBqp'cTcar&g*

Bu demektir ki tuzdan ve iterasyonlardan bağımsız olarak PBKDF2-HMAC-SHA1 aşağıdaki parolalar için aynı anahtarı üretecektir:

• "plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd"
• "eBkXQTfuBqp'cTcar&g*"

Örneğin, aşağıdaki parametreler kullanıldığında:

• PRF: HMAC-SHA1
• Salt: A009C1A485912C6AE630D3E744240B04
• Iterations: 1,000
• Derived key length: 16 bytes

Aşağıdaki fonksiyon çağrıları:

PBKDF2-HMAC-SHA1("plnlrtfpijpuhqylxbgqiiyipieyxvfsavzgxbbcfusqkozwpngsyejqlmjsytrmd", ...)
PBKDF2-HMAC-SHA1("eBkXQTfuBqp'cTcar&g*", ...)

aynı türetilmiş anahtarı üretecektir (17EB4014C8C461C300E9B61518B9A18B). Ancak türetilmiş anahtarlardaki bu çakışma bir güvenlik açığına sebep vermemektedir, çünkü parolanın özetini (hash değerini) üretmek için parolanın orijinalinin hala bilinmesi gerekmektedir.^[10] Çakışmaların varlığının incelenmesi sadece bir merak ürünüdür.

PBKDF2'nin bir zayıflığı, hesaplama zamanını uzatmak için iterasyon sayısını ayarlanabilmesine rağmen, yine de küçük bir devre ve az miktarda RAM ile bu işlem yapılabilmektedir. Bu da PBKDF2'yi uygulamaya özel tümleşik devre veya grafik işlemci ünitesi kullanan kaba kuvvet saldırılana karşı zayıf kılmaktadır.^[11] bcrypt parola özetleme fonksiyonu daha fazla miktarda RAM gerektirmektedir ve bu tarz ataklara karşı biraz daha güvenlidir.^[12] Daha modern bir anahtar türetme fonksiyonu olan scrypt ise istenildiği kadar çok hafıza gerektirdiğinden, bu tarz ataklara karşı daha da güvenlidir.^[11]

2013 yılında, daha dayanıklı yöntemlerin geliştirilmesi için bir Parola Özetleme Yarışması düzenlenmiştir. 20 Temmuz 2015 tarihinde Argon2 bu yarışmayı kazanmıştır, ancak diğer 4 katılımcıya da teselli ödülü verilmiştir: Catena, Lyra2, yescrypt ve Makwa.^[13]

• RSA PKCS #5 – RSA Laboratories PKCS #5 v2.1.
• RFC 2898 – Specification of PKCS #5 v2.0.
• RFC 6070 – Test vectors for PBKDF2 with HMAC-SHA1.
• NIST Special Publication 800-132 Recommendation for Password-Based Key Derivation1 Aralık 2016 tarihinde Wayback Machine sitesinde arşivlendi.