From 0ddca657ed629fa8458a471d7655d3bd63c6facc Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 17 Jun 2024 16:24:38 +0300
Subject: [PATCH] =?utf8?q?NIST=20=D1=82=D0=BE,=20=D0=BE=D0=BA=D0=B0=D0=B7?=
 =?utf8?q?=D1=8B=D0=B2=D0=B0=D0=B5=D1=82=D1=81=D1=8F,=20=D1=80=D0=B5=D0=BA?=
 =?utf8?q?=D0=BE=D0=BC=D0=B5=D0=BD=D0=B4=D1=83=D0=B5=D1=82=20Balloon?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://scottarc.blog/2024/06/17/the-quest-for-the-gargon/
https://pages.nist.gov/800-63-3/sp800-63b.html
https://eprint.iacr.org/2016/027
Человек недоволен тем, что у NIST-а нет стандартизованных функций
хэширования пароля, чтобы напрягалась память, а не только процессор.
У нас, в ГОСТах, тоже нет ничего сильнее PBKDF2, что печально.

Но автор также тыкает в предложение NIST-а по рекомендации Balloon
функции. Совершенно не знал про это! Argon2 безусловно лучше чем PBKDF2,
но меня напрягает то, что это не конструкция "над" уже имеющимися хэшами.
Вот если в PBKDF2 засунуть Стрибог, то это пройдёт любую сертификацию. И
Argon2 внутри себя жёстко использует BLAKE2.

Balloon же мне нравится уже очень давно
(63f0684718f9df423be8268159684c788c052ab6) тем, что он не диктует какой
хэш использовать и его алгоритм относительно прост и быстро реализуется.
Поэтому я во многих своих проектах (GoVPN, NNCP например) использую
именно его (63f0684718f9df423be8268159684c788c052ab6), а не Argon2.
Balloon, судя по документу на IACR, имеет меньше потенциальных проблем
чем Argon2. То есть, безопаснее, проще и не зависит от конкретной хэш
функции. Вот и NIST его рекомендуют.
-- 
2.50.0