对于 PBKDF2，使用 HMAC-SHA256 比使用 HMAC-SHA-1 更安全吗？

Question

我正在寻找用于密码加密的正确 Java 算法，我发现 Java SDK 提供 PBKDF2WithHmacSHA1，但不提供 PBKDF2WithHmacSHA256。

我听说 HMAC-SHA256 比 HMAC-SHA-1 需要更多时间。

由于系统资源有限，我将应用不同的迭代值使它们最安全，只要服务需求可以承受。

即使进程的预期时间相同，使用 HMAC-SHA256 比使用 HMAC-SHA-1 更安全吗？

如果是这样，您能否描述使用 HMAC-SHA256 比使用 HMAC-SHA-1 安全多远？

Answer 1

优点 #1： SHA-256 是比 SHA-1 更长的散列（256 位与 160 位），因此使用纯蛮力找到碰撞的机会要低得多。 即使调整了迭代计数以使计算单个 PBKDF2 哈希的时间相同，您也必须哈希 2^96 倍的随机输入才能与 PBKDF2-SHA-256 匹配，而不是与 PBKDF2-SHA-1

Con #1：没有人使用纯粹的蛮力攻击密码哈希，他们使用字典攻击、混合字典攻击和有限字符集攻击。 所有这些都使用足够小的有限输入空间，PBKDF2-SHA-1 和 PBKDF2-SHA-256 都不可能发生任何自然碰撞。 有限的密码搜索空间使得散列的大小无关紧要，只要它“足够大”，因此影响攻击难度的唯一因素是计算单个 PBKDF2 散列的时间。 此外，PBKDF2 有一种方法可以将输出长度拉伸到比底层哈希长度更长，因此您实际上可以使两者具有等效的输出空间。

Pro #2： SHA-1 至少部分损坏； 密码分析导致的攻击可以比蛮力更快地发现冲突。 一旦发现攻击，您通常可以期望对其进行改进——这意味着 SHA-1 是否适用于需要在未来几分钟内保持安全的任何事物都是值得怀疑的。

Con #2： SHA-1 理论上是“破的”，但是已经发现的攻击仍然非常昂贵，据我所知它们都是生日攻击（不会帮助你破解密码数据库）而不是前映像攻击（确实如此）。 此外，由于 PBKDF2 使用散列的多次迭代，一遍又一遍地将散列输出与密码相结合，因此很难将对散列的攻击扩展为对 PBKDF2 的攻击。 需要对 SHA-1 进行非常严重的攻击才能使 PBKDF2-SHA-1 不安全。

总的来说，我认为一般原则上你应该更喜欢 PBKDF2-SHA-256，但如果它不可用，PBKDF2-SHA-1 目前仍然被广泛使用，并且是中等安全密码散列的合理选择。