问KDF密码-已知漏洞和密码分析？

EN

正如kelalaka已经解释过的，Scrypt是一个基于密码的密钥派生函数，它是一个从密码派生密钥的函数。对于这个用例，不同的安全要求适用于简单的散列函数(例如SHA-256)或密码(例如AES)。碰撞抵抗和图像前攻击实际上是无关的。由于所有现代密码散列方案都按顺序执行数千个散列函数，因此该函数不太可能可逆，或者两个密码产生相同的哈希值。

另一方面，攻击者测试密码的速度总是很重要的。为了防止数以百万计的定制硬件(特别是ASIC)的并行攻击，或者更准确地说，是为了极大地增加它们的成本，而开发了Scrypt。该方案通过内存硬度来实现这一目标:执行时需要大量的内存向量，而ASIC和GPU的内存非常昂贵。

然而，其他攻击选项产生于此场景，影响到氪星。

1. 缓存-定时攻击:如密码哈希方案凯泰娜的介绍所示，可以使用间谍进程执行缓存定时攻击。间谍对这种攻击的脆弱性是不可否认的，但攻击有许多先决条件(包括运行间谍过程)，而且在实践中可能还不重要。
2. 时间-内存权衡:如果可以使用更多的操作来执行函数，而不是内存中的向量，那么函数最终可以在自定义硬件上运行。原则上，这是可以与氪星，但代价是一个更高的执行时间。安东尼·费拉拉( Anthony Ferrara )在他的博客中能够表明，在某些用例中，这样的时间-内存权衡仍然可能是有益的(某些闪烁参数和GPU作为自定义硬件)，但在这方面，总体上来看，单片机被认为比Argon2i或Catena更有弹性。

到目前为止指出的其他缺陷，例如在执行过程中仍然保留在内存中的密码和垃圾回收器攻击(这两者都在关于Catena实现的论文中也提到)的相关性不大。

总之，在我看来，氪星并不理想，但仍然安全。