<div dir="ltr">So, consensus seems to be that this is just paranoia.  I prefer that to the thought that some poor guy actually has to spend time dealing with my dumb posts to earn a living.<div><br></div><div>My next question is shills.  I often think I'm seeing potential shills, but it's hard to tell a shill paid to subvert Internet security from the common dork.  For example, on one of my other posts on this forum, "Why don't we protect our passwords", I agree wholeheartedly with Arnold when today he wrote:</div>
<div><br></div><div>"<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">So why the lack of attention to KDFs? If one tenth the effort to replace SHA-2 had been devoted to improving password storage, the benefits to industry and the public would be far greater than anything we can expect from SHA-3.  While I'm glad the hear that there is at last a password-hashing competition (</span><a href="http://password-hashing.net/" target="_blank" style="font-family:arial,sans-serif;font-size:19.200000762939453px">password-hashing.net</a><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">), scrypt is available now. As long as an algorithm identifier is included in a password database, it's easy to substitute a better algorithm when it comes along. And is there any cryptographer out there who knows the algorithm and believes that scrypt could be weaker than PBKDF2? Seriously?"</span></div>
<div><span style="font-family:arial,sans-serif;font-size:19.200000762939453px"><br></span></div><div>In response, Krisztián Pintér wrote:</div><div><br></div><div>"<span style="color:rgb(80,0,80);font-family:arial,sans-serif;font-size:19.200000762939453px">> to substitute a better algorithm when it comes along. And is there</span></div>
<div class="im" style="font-family:arial,sans-serif;font-size:19.200000762939453px">> any cryptographer out there who knows the algorithm and believes<br>> that scrypt could be weaker than PBKDF2? Seriously?<br><br>
</div><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">yep, plenty. for example all that knows the principle of not using</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">branching/indexing on secret. pbkdf2 does not do that, and therefore</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">safe against cache timing attacks. the same can not be said about</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px"><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">either bcrypt, which uses secret based s-boxes, but especially not</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">scrypt, which uses secret based memory access wildly.</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px"><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">one could also ask how safe it is to sprinkle the secret all over the</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">RAM, increasing the risk of getting swapped to disc, or being</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px"><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">recoverable by cold boot attack.</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<br style="font-family:arial,sans-serif;font-size:19.200000762939453px"><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">there is a lot to fear about scrypt. don't forget, we live in the era</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">of side channel attacks. the safety of scrypt against direct attacks</span><br style="font-family:arial,sans-serif;font-size:19.200000762939453px">
<span style="font-family:arial,sans-serif;font-size:19.200000762939453px">does not grant much in the real world."</span><div><span style="font-family:arial,sans-serif;font-size:19.200000762939453px"><br></span></div>
<div><font face="arial, sans-serif"><span style="font-size:19.200000762939453px">I don't mean to call people names.  I'm only using </span></font><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">Krisztián's post as a recent example, of which there are many.  </span><font face="arial, sans-serif"><span style="font-size:19.200000762939453px">Krisztián Pintér clearly doesn't want to switch to scrypt, which AFAIK any non-dork can tell improves security against common real attacks, which far outweighs Krisztián's concerns about side-channel attacks, and OMG, what was that crazy rant about sprinkling secret data all over RAM?  It's just the output of a respected stream cipher!  </span></font><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">From where I'm sitting, </span><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">Krisztián's position is so lame, it makes me think he may be getting paid to spread FUD.</span></div>
<div><font face="arial, sans-serif"><span style="font-size:19.200000762939453px"><br></span></font></div><div><font face="arial, sans-serif"><span style="font-size:19.200000762939453px">So, is </span></font><span style="font-family:arial,sans-serif;font-size:19.200000762939453px">Krisztián</span><span style="font-family:arial,sans-serif;font-size:19.200000762939453px"> a dork or a shill?  Do we live in a world where we can't chat intelligently about security because of NSA shills, or is the world really full of that many dorks?</span><br>
</div></div>