Función de derivación de claves

Función que deriva claves secretas de un valor secreto

Ejemplo de una cadena de función de derivación de claves tal como se utiliza en el protocolo de señal . La salida de una función KDF es la entrada de la siguiente función KDF de la cadena.

En criptografía , una función de derivación de clave ( KDF ) es un algoritmo criptográfico que deriva una o más claves secretas a partir de un valor secreto como una clave maestra, una contraseña o una frase de contraseña utilizando una función pseudoaleatoria (que normalmente utiliza una función hash criptográfica o cifrado en bloque ). ^{[1] [2] [3]} Los KDF se pueden utilizar para ampliar claves en claves más largas o para obtener claves de un formato requerido, como convertir un elemento de grupo que es el resultado de un intercambio de claves Diffie-Hellman en una clave simétrica para utilizar con AES . Las funciones hash criptográficas con clave son ejemplos populares de funciones pseudoaleatorias utilizadas para la derivación de claves. ^[4]

Historia

La primera ^{[ cita necesaria ]} función de derivación de clave basada en contraseña deliberadamente lenta (estiramiento de clave) se llamó " cripta " (o "cripta(3)" después de su página de manual ), y fue inventada por Robert Morris en 1978. Cifraría un constante (cero), utilizando los primeros 8 caracteres de la contraseña del usuario como clave, realizando 25 iteraciones de un algoritmo de cifrado DES modificado (en el que se utiliza un número de 12 bits leído del reloj de la computadora en tiempo real para perturbar los cálculos ). El número de 64 bits resultante se codifica como 11 caracteres imprimibles y luego se almacena en el archivo de contraseña de Unix . ^[5] Si bien fue un gran avance en ese momento, los aumentos en las velocidades del procesador desde la era PDP-11 han hecho factibles los ataques de fuerza bruta contra las criptas, y los avances en el almacenamiento han hecho que la sal de 12 bits sea inadecuada. El diseño de la función de cripta también limita la contraseña del usuario a 8 caracteres, lo que limita el espacio de claves y hace imposible el uso de frases de contraseña seguras . ^{[ cita necesaria ]}

Aunque el alto rendimiento es una propiedad deseable en las funciones hash de propósito general, ocurre lo contrario en las aplicaciones de seguridad de contraseñas en las que la defensa contra el cracking por fuerza bruta es una preocupación principal. El uso cada vez mayor de hardware masivamente paralelo como GPU, FPGA e incluso ASIC para el craqueo por fuerza bruta ha hecho que la selección de un algoritmo adecuado sea aún más crítica porque un buen algoritmo no solo debe imponer una cierta cantidad de costo computacional, no solo en CPU, pero también resisten las ventajas de costo/rendimiento de las modernas plataformas masivamente paralelas para tales tareas. Se han diseñado varios algoritmos específicamente para este propósito, incluidos bcrypt , scrypt y, más recientemente, Lyra2 y Argon2 (siendo este último el ganador del Password Hashing Competition ). La violación de datos a gran escala de Ashley Madison en la que los atacantes robaron aproximadamente 36 millones de hashes de contraseñas ilustró la importancia de la selección de algoritmos para proteger las contraseñas. Aunque se empleó bcrypt para proteger los hashes (lo que hace que el descifrado por fuerza bruta a gran escala sea costoso y requiera mucho tiempo), una porción importante de las cuentas en los datos comprometidos también contenían un hash de contraseña basado en el rápido algoritmo MD5 de propósito general , lo que hizo que Es posible descifrar más de 11 millones de contraseñas en cuestión de semanas. ^[6]

En junio de 2017, el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) emitió una nueva revisión de sus pautas de autenticación digital, NIST SP 800-63B-3, ^{[7] : 5.1.1.2,} que establece que: "Los verificadores DEBEN almacenar secretos memorizados [ es decir, contraseñas] en una forma que sea resistente a ataques fuera de línea. Los secretos memorizados DEBEN ser salados y codificados utilizando una función de derivación de clave unidireccional adecuada. Las funciones de derivación de claves toman una contraseña, una sal y un factor de costo como entradas y luego generan una contraseña. hash. Su propósito es hacer que cada prueba de adivinación de contraseña por parte de un atacante que haya obtenido un archivo hash de contraseña sea costosa y, por lo tanto, el costo de un ataque de adivinación sea alto o prohibitivo".

Las funciones modernas de derivación de claves basadas en contraseñas, como PBKDF2 , ^[2] se basan en un hash criptográfico reconocido, como SHA-2 , utilizan más sal (al menos 64 bits y se eligen al azar) y un alto recuento de iteraciones. NIST recomienda un recuento mínimo de iteraciones de 10.000. ^{[7] : 5.1.1.2} "Para claves especialmente críticas, o para sistemas muy potentes o sistemas donde el rendimiento percibido por el usuario no es crítico, un recuento de iteraciones de 10.000.000 puede ser apropiado". ^{[8] : 5,2}

derivación de claves

El uso original de un KDF es la derivación de claves, la generación de claves a partir de contraseñas o frases de contraseña secretas. Las variaciones sobre este tema incluyen:

• Junto con parámetros no secretos para derivar una o más claves a partir de un valor secreto común (lo que a veces también se denomina " diversificación de claves "). Dicho uso puede impedir que un atacante que obtenga una clave derivada obtenga información útil sobre el valor secreto de entrada o cualquiera de las otras claves derivadas. También se puede utilizar un KDF para garantizar que las claves derivadas tengan otras propiedades deseables, como evitar "claves débiles" en algunos sistemas de cifrado específicos.
• Como componentes de protocolos de acuerdos clave multipartidistas . Ejemplos de tales funciones de derivación de claves incluyen KDF1, definida en IEEE Std 1363-2000 , y funciones similares en ANSI X9.42.
• Para derivar claves a partir de contraseñas o frases de contraseña secretas (un KDF basado en contraseñas ).
• Para derivar claves de longitud diferente a las proporcionadas. Los KDF diseñados para este propósito incluyen HKDF y SSKDF. Estos toman una cadena de bits de 'información' como parámetro de 'información' opcional adicional, que puede ser crucial para vincular el material de clave derivado a información específica de la aplicación y del contexto. ^[9]
• Estiramiento clave y fortalecimiento clave.

Estiramiento clave y fortalecimiento clave.

Las funciones de derivación de claves también se utilizan en aplicaciones para derivar claves a partir de contraseñas o frases de contraseña secretas, que normalmente no tienen las propiedades deseadas para usarse directamente como claves criptográficas. En tales aplicaciones, generalmente se recomienda que la función de derivación de claves se haga deliberadamente lenta para frustrar un ataque de fuerza bruta o un ataque de diccionario sobre la contraseña o el valor de entrada de la frase de contraseña.

Dicho uso puede expresarse como DK = KDF(clave, sal, iteraciones) , donde DK es la clave derivada, KDF es la función de derivación de clave , clave es la clave o contraseña original, sal es un número aleatorio que actúa como sal criptográfica , e iteraciones se refiere al número de iteraciones de una subfunción. La clave derivada se utiliza en lugar de la clave o contraseña original como clave del sistema. Los valores de salt y el número de iteraciones (si no está fijo) se almacenan con la contraseña hash o se envían como texto sin cifrar (sin cifrar) con un mensaje cifrado. ^[10]

La dificultad de un ataque de fuerza bruta aumenta con el número de iteraciones. Un límite práctico en el recuento de iteraciones es la falta de voluntad de los usuarios para tolerar un retraso perceptible al iniciar sesión en una computadora o ver un mensaje descifrado. El uso de salt impide que los atacantes precalculen un diccionario de claves derivadas. ^[10]

Un enfoque alternativo, llamado fortalecimiento de clave , extiende la clave con una sal aleatoria, pero luego (a diferencia del estiramiento de clave) elimina la sal de forma segura. ^[11] Esto obliga tanto al atacante como a los usuarios legítimos a realizar una búsqueda de fuerza bruta del valor de la sal. ^[12] Aunque el artículo que introdujo el estiramiento de teclas ^[13] se refería a esta técnica anterior y eligió intencionalmente un nombre diferente, el término "fortalecimiento de teclas" ahora se usa a menudo (posiblemente incorrectamente) para referirse al estiramiento de teclas.

Hash de contraseña

A pesar de su uso original para la derivación de claves, los KDF posiblemente sean más conocidos por su uso en hash de contraseñas ( verificación de contraseña mediante comparación de hash ), como lo usa el archivo passwd o el archivo de contraseña oculta . Las funciones hash de contraseñas deberían ser relativamente costosas de calcular en caso de ataques de fuerza bruta, y la extensión de claves de los KDF proporciona esta característica. ^{[ cita necesaria ]} Los parámetros no secretos se denominan " sal " en este contexto.

En 2013, se anunció un concurso de hash de contraseñas para elegir un nuevo algoritmo estándar para el hash de contraseñas. El 20 de julio de 2015 finalizó el concurso y Argon2 fue anunciado como el ganador final. Otros cuatro algoritmos recibieron un reconocimiento especial: Catena, Lyra2, Makwa y yescrypt. ^[14]

A partir de mayo de 2023, OWASP recomienda los siguientes KDF para el hash de contraseñas, enumerados en orden de prioridad: ^[15]

1. Argón2id
2. scrypt si Argon2id no está disponible
3. bcrypt para sistemas heredados
4. PBKDF2 si se requiere cumplimiento con FIPS-140

Referencias

1. Bezzi, Michele; et al. (2011). "Privacidad de datos". En Camenisch, enero; et al. (eds.). Gestión de privacidad e identidad de por vida . Saltador. págs. 185-186. ISBN 9783642203176.
2. B. Kaliski; A. Rusch (enero de 2017). K. Moriarty (ed.). PKCS #5: Especificación de criptografía basada en contraseñas, versión 2.1. Grupo de trabajo de ingeniería de Internet (IETF). doi : 10.17487/RFC8018 . ISSN  2070-1721. RFC 8018. Informativo. Obsoletos RFC 2898. Actualizado por RFC 9579.
3. Chen, Lily (octubre de 2009). "NIST SP 800-108: Recomendación para la derivación de claves mediante funciones pseudoaleatorias". NIST.
4. Zdziarski, Jonathan (2012). Hackear y proteger aplicaciones IOS: robo de datos, secuestro de software y cómo prevenirlo. Medios O'Reilly. págs. 252-253. ISBN 9781449318741.
5. Morris, Robert; Thompson, Ken (3 de abril de 1978). "Seguridad de contraseñas: un caso histórico". Laboratorios Bell . Archivado desde el original el 22 de marzo de 2003 . Consultado el 9 de mayo de 2011 .
6. Goodin, Dan (10 de septiembre de 2015). "Alguna vez consideradas a prueba de balas, ya se han descifrado más de 11 millones de contraseñas de Ashley Madison". Ars Técnica . Consultado el 10 de septiembre de 2015 .
7. Grassi Paul A. (junio de 2017). SP 800-63B-3: Directrices de identidad digital, autenticación y gestión del ciclo de vida . NIST. doi :10.6028/NIST.SP.800-63b.
8. Meltem Sönmez Turan, Elaine Barker, William Burr y Lily Chen (diciembre de 2010). SP 800-132: Recomendación para la derivación de claves basada en contraseñas, Parte 1: Aplicaciones de almacenamiento (PDF) . NIST. doi :10.6028/NIST.SP.800-132. S2CID  56801929.{{cite book}}: CS1 maint: multiple names: authors list (link)
9. Krawczyk, Hugo; Eronen, Pasi (mayo de 2010). "La entrada de 'información' a HKDF". datatracker.ietf.org .RFC 5869 (2010)
10. "Hash de contraseñas saladas: hacerlo bien". CrackStation.net . Consultado el 29 de enero de 2015 .
11. Abadi, Martın, T. Mark A. Lomas y Roger Needham. "Fortalecimiento de contraseñas". Centro de Investigación de Sistemas Digitales, Tech. Representante 33 (1997): 1997.
12. U. Manber, "Un plan sencillo para hacer que las contraseñas basadas en funciones unidireccionales sean mucho más difíciles de descifrar", Computers & Security, v.15, n.2, 1996, págs.171-176.
13. Aplicaciones seguras de claves de baja entropía, J. Kelsey , B. Schneier , C. Hall y D. Wagner (1997)
14. "Concurso de hash de contraseñas"
15. "Hoja de referencia para el almacenamiento de contraseñas". Serie de hojas de referencia de OWASP . OWASP . Consultado el 17 de mayo de 2023 .

Otras lecturas

• Percival, Colin (mayo de 2009). "Derivación de claves más sólida mediante funciones secuenciales de memoria dura" (PDF) . Presentación BSDCan'09 . Consultado el 19 de mayo de 2009 .
• Funciones clave de derivación