Lmst

70000 | argon2id [Bridged: reference implementation + tunings] | Raw Hash

#Veracrypt 1.26.25 has been released (#TrueCrypt / #CipherShed / #DiskCryptor / #OTFE / #Crypto / #Encryption / #DiskEncryption / #Argon2 / #Argon2id / #GOSTBlockCipher / #RFC7801 / #RFC8891 / #BLAKE2s256 / #Streebog / #AES / #Camellia / #Kuznyechik / #Twofish / #IDRIX / #AMCrypto) https://veracrypt.io/

New version of #hashgen published.

Changelog:
v1.1.0; 2025-03-19
added modes: #base58, #argon2id, #bcrypt w/custom cost factor

https://forum.hashpwn.net/post/89

#hashgenerator #hashcracking #hashcat #hashpwn #cyclone #golang

#Picocrypt is a very small (hence Pico), very simple, yet very #secure #encryption tool that you can use to protect your #files. It's designed to be the go-to tool for encryption, with a focus on security, simplicity, and reliability. Picocrypt uses the secure #XChaCha20 cipher and the #Argon2id key derivation function to provide a high level of security, even from three-letter agencies like the NSA. Your privacy and security is under attack. Take it back with confidence by protecting your files with Picocrypt.
https://github.com/HACKERALERT/Picocrypt?tab=readme-ov-file

Про #GRUB можно позабыть уже несколько лет как — явно находится под чьим-то влиянием и до сих пор отказывается реализовать поддержку #LUKS 2-й версии, в части использования #Argon2 / #Argon2id.

Важно это потому, что в мире полно ферм для майнинга криптовалют, так или иначе арестованных органами общественного правопорядка. Это изначально специализированные #ASIC для перебора значений hash-функций. В результате, стало возможным взламывать грубой силой почти все варианты дискового шифрования, если для хранения пароля используются обычные #PBKDF2 / #PBKDF, не адаптированные под противодействие крипто-майнинговым фермам. Примером, нормальной современной #PBKDF является тот же #Argon2 и его вариации.

Альтернатива в том, что позволяет тот же #systemd-boot. Например, для полнодискового шифрование через LUKS берётся SSD/NVMe разбитый через #GPT с выделением раздела EFI System Partition, на котором размещаются образы #initrd / #initramfs и бинарники загрузчика systemd-boot являющиеся EFI-приложением.

Всё содержимое EFI System Partition может проверяться Secure Boot'ом — быть заверены своим собственным сертификатом в дереве. Не только бинарники, но и текстовые *.conf файлы в /boot/loader/entries/ описывающие каждый вариант загрузки. Поскольку они содержат такие вещи как:

title    ... — как зовётся в меню загрузочном
linux    /vmlinuz-6.6-x86_64 — какое ядро ОС использовать
initrd    /intel-ucode.img — какой микрокод процессора грузить
initrd    /initramfs-6.6-x86_64.img — сам загрузочный образ
...
options quiet — могут быть и в одну строчку все сразу
options splash
options rd.udev.log_level=3
options systemd.show_status=auto
options sysrq_always_enabled=1
options intel_iommu=on
options iommu=pt
...

Т.е. файлы *.conf могут содержать всякие опции/параметры ядра, отвечающие за безопасность работы системы. Например, раздачей таких рекомендаций недавно развлекался #ФСТЭК (вот оригинал официальной публикации).

Про различия в вариантах #Argon2, почему собственно RFC 9106 рекомендует использовать #Argon2id

#Argon2d maximizes resistance to GPU cracking attacks. It accesses the memory array in a password dependent order, which reduces the possibility of time–memory trade-off (TMTO) attacks, but introduces possible side-channel attacks.
#Argon2i is optimized to resist side-channel attacks. It accesses the memory array in a password independent order.
#Argon2id is a hybrid version. It follows the #Argon2i approach for the first half pass over memory and the #Argon2d approach for subsequent passes.

#linux #crypto #lang_ru

Also #argon2id funktioniert schon sehr gut.

Alle versuche das verlorene #LUKS / cryptsetup - Passwort wieder zu gewinnen sind gescheitert.

Und das trotz Kenntnis der Länge und der Menge der verwendetet Chars.

Performance mit bruteforce-luks war auf AMD Ryzen 7 7840HS mit 10 Threads knapp über 1,2 PW/s.

Habe die Maschine dann halt neu installiert.

Tails - Weak cryptographic parameters in LUKS1 https://tails.boum.org/security/argon2id/index.en.html #cryptsetup #parameter #dm-crypt #argon2id #weakness #crypto #pbkdf2 #tails #luks #kdf

@mjg59

Thank you for sounding the alert!

I identified a minor issue with your otherwise nice explanation: According to my sources (man cryptsetup, #rfc9106), all #argon2 varieties are memory-hard. RFC 9106 is even titled “Argon2 Memory-Hard Function for Password Hashing and Proof-of-Work Applications”.

However, given that there are known attacks against #argon2i, it seems wise to use #argon2id instead. It is also what is recommended in the RFC.

As a #QubesOS user, I just checked the state of affairs there:

The cryptsetup that comes with QubesOS 3.x used #luks1, and those who did an in-place upgrade to 4.x still have that unless they converted to #luks2 manually (as detailed in the migration guide).

The cryptsetup in QubesOS 4.x uses #luks2, but it still defaults to #argon2i unfortunately.

Beschäftigung für den Admin im Zug? Ganz klar #archlinux auf dem Laptop neu aufsetzt. Mit gut 8 Jahren auf dem Laptop, hat sich das Arch tapfer geschlagen, aber ich will mal die ganzen altlasten loswerden.
Hätte durch #btrfs und #Snapper auch in einen #subvolume loslegen können, aber so hab ich jetzt auch #argon2id

KeePassXC 2.6.3 Password Manager Adds Support for Argon2id KDF and XMLv2 Key Files

https://9to5linux.com/keepassxc-2-6-3-password-manager-adds-support-for-argon2id-kdf-and-xmlv2-key-files

#KeePassXC #passwordmanager #Argon2id

#Argon2id

Client Info