使用 bcrypt 和 KDF 在 Go 中生成特定长度的密钥

在 Go 中生成特定长度的密钥时，bcrypt 作为一种密码哈希算法，无法直接满足这一需求。而密钥派生算法（KDF）如 pbkdf2 和 scrypt，可以通过获取密码并生成指定长度的密钥来解决此问题。此外，可以通过将 bcrypt 的输出字符串作为 pbkdf2 的盐，巧妙地将 bcrypt 整合到 KDF 中，生成满足特定长度要求的密钥。

Go 生态系统似乎只有一个基本的 bcrypt 实现 (golang.org/x/crypto/bcrypt)，它留给开发人员作为练习，从编码的输出字符串中提取密钥，然后进一步将其扩展为如果您要将其用作加密密钥而不是仅仅将其作为密码存储在数据库中的某个位置，请满足特定的密钥长度。让我感到困惑的是，网上似乎没有任何针对 Go 或一般情况的快速处理这个概念的方法。

冒着自己动手引入错误的风险，我怀疑我将被迫使用scrypt，至少在 Go 中，它确实 > 采用输出长度参数。

我错过了什么吗？ Go 中是否有一个 bcrypt 的实现，它接受密钥长度参数并直接管理生成可接受长度的密钥？

解决方案

bcrypt 不是密钥派生算法；它是一种密码哈希算法。

• pbkdf2 可以获取密码并输出 n 所需的位
• scrypt 可以获取密码并输出 n 所需的位

这些是密钥派生函数。它们获取密码并生成 n 位，然后您可以将其用作加密密钥。

bcrypt 无法做到这一点。 bcrypt 不是密钥派生函数。它是一个密码哈希函数。它始终输出相同数量的位。

额外奖励： bcrypt 始终准确输出 24 字节（192 位），因为 bcrypt 的输出是加密 orpheanbeholderscrydoubt 的结果。

注意：这不是 orpheanbeholderscrydoubt 散列的结果 - bcrypt 算法实际上是使用河豚密码对 orpheanbeholderscrydoubt 进行加密（并重复加密） 64 次）。

bcrypt 的优势来自于“昂贵的密钥设置”。

奖励：bcrypt 的优势来自于它昂贵这一事实。而“贵”则意味着内存。算法需要的内存越多，抵抗暴力攻击的能力就越强。

• sha-2：可以在 128 字节 ram 中运行
• bcrypt：不断占用 4 kb ram
• scrypt：不断占用 16 mb ram（android 和 litecoin 的默认配置）
• argon2：通常建议您将其配置为 1 gb ram

防御暴力攻击意味着防御并行化。需要 128 字节的算法可以在 1 gb 显卡上进行 700 万次并行操作。

scrypt 需要 16 mb ram，只能并行运行 62 个。

argon2 使用 1 gb ram，只能在显卡上运行 1 个。无论如何，它在 cpu 上运行得更快。

将 bcrypt 整合到密钥派生函数 (kdf)

您可以将 bcrypt 拼凑成密钥派生函数。您可以使用标准函数 pbkdf2 来为您完成此操作。

通常pbkdf2被称为：

string password = "hunter2";
string salt     = "sea salt 69 nice";

byte[] key = pbkdf2(password, salt, 32, 10000); //32-bytes is 256 bits

但是您可以使用 bcrypt 字符串结果作为盐：

string password = "hunter2";
string salt     = bcrypt.hashpassword(password, 12);

byte[] key = pbkdf2(password, salt, 32, 1); //32-bytes is 256-bits

现在您已经生成了一个 256 位密钥“使用 bcrypt”。这是一个巧妙的技巧。

事实上，这个黑客攻击非常巧妙，字面上就是scrypt所做的：

String password = "hunter2";
String salt     = ScryptExpensiveKeyHash(password, userSalt, ...);

Byte[] key = PBKDF2(password, salt, 32, 1); //32-bytes is 256-bits

结论

bcrypt 不是密钥导出函数。这是 pbkdf2、scrypt（使用 pbkdf2）和 argon2 等函数的目标。

仅允许 nist 批准的算法时使用 bcrytp

将 pbkdf2 结构与 bcrypt 结合使用还有另一个充分的理由。

有时，不知道自己在说什么的“安全专家”会坚持您使用 pbdkf2 进行密钥派生。 （是的，它确实发生了）。你会试图一遍又一遍地告诉他们，pbdkf2 是一个非常弱的密钥导出系统（它所基于的 sha2 运行速度太快，10,000 或 100,000 次迭代远远不足以保护你免受暴力攻击 -这就是 bcrypt、scrypt 和 argon2 的发明目的）。

但是这个人不会放过它，并且会要求使用pbkdf2。通过这种结构，您仍然可以使用 bcrypt 来确保安全，并使用 pbkdf2 来满足无知者的需要。

你只是碰巧使用了强“盐”。

今天关于《使用 bcrypt 和 KDF 在 Go 中生成特定长度的密钥》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！