bcrypt私は(アプリケーションの観点から)について読んでいます。私のサイトにパスワードを保存するためにそれを使用することを考えています。
私が読んだいくつかのものから、それはどちらかの方法を示唆しています:
- 例1:Bcryptはbcryptのクロスプラットフォームファイル暗号化ユーティリティです
- 例2:bcryptは、対称暗号化アルゴリズムではなく、Blowfishキーイングスケジュールを使用する適応型パスワードハッシュアルゴリズムです。パスワードを安全に保存する方法から
- bcryptは、Blowfish暗号に基づいてNielsProvosとDavidMazièresによって設計されたパスワード用の適応暗号化ハッシュ関数です。bcryptwikiから
Bcryptとは正確には何ですか?
それは両方です:)
ほとんどの場合、人々がBCryptについて言及するとき、彼らは適応ハッシュアルゴリズムについて話しますが、それは無関係のファイル暗号化ユーティリティの名前でもあります。
どちらもBlowfish暗号に基づいています。
Bcrypt暗号化ソフトウェアは、1993年にBruceSchneierによって設計されたBlowfishアルゴリズムを使用しています。[1]
bcryptハッシュ関数はまさにそれ、ハッシュ関数です。暗号化を実行せず、ハッシュします。これはBlowfish暗号に基づいており、時間の経過とともに遅くなる可能性があるため、良いことと考えられています。
ウィキペディアから:
これは、標準のBlowfishキースケジュールよりも暗号的に大幅に強力ではありませんが、キーの再生成ラウンドの数は構成可能です。したがって、ハッシュプロセスを任意に遅くすることができ、ハッシュまたはソルトに対するブルートフォース攻撃を阻止するのに役立ちます。
サイトにパスワードを保存することに関しては、パスワードをハッシュする前に暗号化する必要があります。
何らかの暗号化アルゴリズム(Blowfish、Rijndael / AESなど)で暗号化した後でのみ、bcryptを使用して暗号化されたパスワードをハッシュし、パスワードハッシュを保存する必要があります。
パスワードセキュリティの実装の詳細については、この質問のトップアンサーを参照してください。
bcryptはパスワードの鍵導出関数です
また、ハッシュ( bcryptで使用)と簡単な言葉での暗号化の違いは-
1)暗号化されたデータは秘密鍵を介して復号化できます。2)ハッシュは、プレーンテキストを元に戻せないようにハッシュする場合、より安全になる1つの方法です。確実にする唯一の方法は、プレーンテキストを再ハッシュし、以前にハッシュされたデータと同等かどうかを比較することです。