Argon2d Einstellungen für KeePass 2

[J3m2EHoW]

Hallo zusammen,

ich habe eine Frage zu dem Hashing-Algorithmus Argon2d in KeePass 2: Welche Werte sollte ich jeweils eintragen und was bedeuten die Begriffe bzw. welche Auswirkungen haben diese? Bisher habe ich immer gedacht, dass AES reicht, aber anscheinend ist Argon2d sicherer bzw. besser bei bestimmten Attacken?

Iterationen (aktueller Wert 50)
Speicher (aktueller Wert 64 MB)
Parallelismus (aktueller Wert 2)

Ich habe in der KeePass-Hilfe gelesen, dass man die Werte ausgehend von den Geräte festlegen soll, auf denen die Datenbank verwendet wird.

PC mit 16 GB RAM, Notebook mit 8 GB RAM und Smartphone mit 6 GB RAM. Welche Werte würde ihr für ein gutes Sicherheit/Leistung/Zeit Verhältnis setzen? Wenn es mal 5 Sekunden dauert bis die Datenbank speichert oder öffnet, ist das für mich kein Problem.

 

[BeBur]

5 Sekunden, bist du des Wahnsinns? Wofür, warum?
Mach 1 Sekunde und selbstredend sicheres Passwort.

 

[J3m2EHoW]

@BeBur Also passen die Werte, welche ich oben eingetragen habe? Das wäre 1 Sekunde.

---

Was bedeuten die einzelnen Werte? Die offizielle KeePass Hilfe hat eher Verwirrung in mir ausgelöst.

 

[madmax2010]

Ist Argon2d nicht ein hash Algorithmus? Du vergleicst Aepfel mit Birnen
Was die Algorithmen angeht:
AES ist gut abgehanden und scheint OK, die Implementierung in keepass scheint auch OK zu sein

 

[J3m2EHoW]

@madmax2010 Ich habe in meiner Themenerstellung doch von einem Hashing-Algorithmus geschrieben.

 

[madmax2010]

Ja, aes ist jedoch nicht zum hashen geeignet. Das ist eine blockchiffre. Kannst du zum verschlüsseln der Datenbank nehmen

 

[Marco01_809]

Argon2d und AES ersetzen sich nicht gegenseitig, man braucht beides. Argon2d wird als Hash-Funktion benutzt um das Passwort zu hashen. AES ist die Verschlüsselungsfunktion die deine Datenbank mit besagtem Hash verschlüsselt.

1 Sekunde hashing ist mehr als genug - mit 5 Sekunden braucht ein Bruteforce im Schnitt 5x so viel Rechenleistung. Aber da sich die Rechenleistung in CPUs regelmäßig verdoppelt ... machen 1 oder 5 Sekunden nahezu keinen Unterschied.

 

[Piak]

Aber da sich die Rechenleistung in CPUs regelmäßig verdoppelt ... machen 1 oder 5 Sekunden nahezu keinen Unterschied.

Ich glaube es verhält sich anders.

Zum einen Cpu leistung verdoppelt sich nicht so schnell. Zum anderen wenn du 5 mal so lang multiplizierst, dürfte das entschlüsseln nochmal exponentiell länger dauern. Dass ist ja das Wesen von Verschlüsselung dass die eine Richtung mathematisch easy, die andere Wahnsinn.

Ich vermute O((n^3)^5).

Edit: ^5 natürlich quatsch von mir. N wird ja größer...

 

[madmax2010]

1 Sekunde hashing ist mehr als genug - mit 5 Sekunden braucht ein Bruteforce im Schnitt 5x so viel Rechenleistung.

Ich vermute O((n^3)^5).

ca O(n log(n)) ist der effizienteste Angriff den ich gefunden habe.

https://eprint.iacr.org/2017/497.pdf
https://eprint.iacr.org/2016/759.pdf

 

[BeBur]

Zum einen Cpu leistung verdoppelt sich nicht so schnell. Zum anderen wenn du 5 mal so lang multiplizierst, dürfte das entschlüsseln nochmal exponentiell länger dauern. Dass ist ja das Wesen von Verschlüsselung dass die eine Richtung mathematisch easy, die andere Wahnsinn.

Du verwechselt das mit der Schlüssellänge bei einschlägigen Verschlüsselungsverfahren. Hier handelt es sich - soweit ich weiß - tatsächlich einfach um "Runden" die linear skalieren.

Was bedeuten die einzelnen Werte? Die offizielle KeePass Hilfe hat eher Verwirrung in mir ausgelöst.

Keine Ahnung. Ich drücke einfach auf "1 Sekunde" oder wie das heißt wenn ich am Desktop PC bin. Ich nutze Safes aber auch nicht auf smartphones, sonst würde ich weiter runter gehen vermutlich.

Wichtiger ist, dass du ein sicheres Passwort verwendest. Ob nun jeder Versuch bei einem Bruteforce mit 1 Millionen teurer Hardware gegen deinen Safe 1ms oder 4ms dauert macht letztendlich keinen Unterschied.

Wenn du 2FA verwendest, dann ist es nochmal egaler.