roman_vlg
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Приветствую.
Какие настройки шифрования можно считать достаточно безопасными (не параноидальными - если конкретно я не являюсь специфической целью взлома, на которую кто-то стал бы тратить ресурсы облачных вычислений, асики или фермы гпу)?
Уже давным давно перешёл на Argon2d с первой же версии keepass, которая начала поддерживать эту функцию. Не столько даже из-за устойчивости к асикам, а потмоу ,что функция AES, насколько я понял, не редко реализована с багами и уязвимостями на уровне софта (как в винде, так и на андроиде, где используются не безопасные прослойки/API).
На данный момент у меня выделено 64мб ОЗУ при 16 циклах и 4 потоках.
Рекомендация от разработчиков гласит, что нужно по возможности выделить 1гб ОЗУ, либо половину от свободной памяти устройства, но не мене 64мб. На смартфоне ОЗУ всегда ограниченный ресурс, и приходится идти на компромиссы. Даже в топовом самсунге с 8гб озу чуть ли не 5гб занято системой и различной блотварью. На средне-бюджетнике прошлых лет с 4гб свободно 2. Поэтому, чтобы в момент открытия БД из памяти не выкинуло тот же браузер, а прошивка не посчитала keepass2android вредоносным процессом и не пришибла, когда он уйдет в фон, выделять много озу под argon, наверное, не стоит.
Соответственно, скорость брутфорса нужно снижать увеличением числа циклов. поэтому дефолтные 2 цикла я увеличил до 16. Пароль по словарям не бьётся - он состоит из 16ти абсолютно рандомных символов, включая специальные.
Стоит ли беспокоиться и увеличить число итераций? С одной стороны, на медленных устройствах это даст существенную задержку, но не даст ту же задержку на быстрых - тех же мощных гпу. Поэтому смысла увеличивать до ~120-240циклов вроде бы и не много.
И лучше увеличивать сложность именно выделением озу с 64мб хотя бы до 128мб, чем добавить циклов с 16 до 128. Это повысит сложность на быстрых устройствах более эффективно.
С другой стороны, есть же принцип достаточности. И мне сложно понять, какой объем озу именно достаточен, чтобы с моей базой не стали связываться после 1-2 дней перебора на паре видеокарт.
Я понимаю, что вероятность потери мастерпароля из-за кейлогеров или использования не доверенной ОС на чужом устройстве гораздо более серьезная проблема. Но я и не набираю мастер пароль нигде ,кроме смартфона. Но предположим, что БД может оказаться в общедоступном месте и подвергнуться перебору на одной или двух ГПУ. |
Всего записей: 168 | Зарегистр. 30-06-2014 | Отправлено: 07:39 09-03-2023 | Исправлено: roman_vlg, 09:01 09-03-2023 |
|
