KeePass 2.35 najlepszym miejscem na hasła – nie dostaną się do nich nawet superkomputery
KeePass Password Safe cieszy się u nas zasłużonym powodzeniem wkategorii menedżerów haseł – i nie bez powodu. Po pierwszeprogram jest opensource’owy i zbadany przez niezależnychekspertów, po drugie jest za darmo, po trzecie łatwo rozszerzyćjego możliwości dzięki wtyczkom. Teraz wraz z wydaniem wersji2.35, menedżer stał się jeszcze bezpieczniejszy: postaranosię, by uodpornić go na sprzętowe ataki z wykorzystaniem klastrówGPU.
W KeePassie 2.35 debiutuje nowa wersja formatu plików KDBX.Będzie ona w miarę możliwości automatycznie używana (zzachowaniem obsługi starego formatu, tam gdzie to jest konieczne dlakompatybilności), przynosząc przede wszystkim wsparcie dla nowejfunkcji wyprowadzania klucza Argon2.Jest to opracowana przez matematyków z Luksemburga funkcja, która w2015 roku wygrała konkurs PHC (Password Hashing Competition) iwyróżnia się na tle konkurencji ogromną odpornością na atakisprzętowe wykonywane za pomocą zarówno GPU jak i specjalizowanychprocesorów ASIC.
Aby przełączyć się na nową funkcję skrótu z dotychczaswykorzystywanej AES-KDF, należy przejść do panelu DatabaseSettings (menu File) i tam w karcie Security w polu Keytransformation wybrać z menu Key derivation function: Argon2.Po włączeniu tej funkcji, udostępnione zostają jej opcje,pozwalające zwiększyć bezpieczeństwo haseł poprzez zwiększenieliczby iteracji, potrzebnej pamięci czy współbieżności. Im jesttrudniej, tym oczywiście ładowanie i zapisywanie bazy kluczy będzietrwało dłużej. Przycisk Test pozwala sprawdzić, ile czasu zajmujetransformacja klucza.
Dla podstawowej konfiguracji: Iterations 2, Memory 1, Paralellism2, funkcja Argon2 będzie potrzebowała kilka tysięcznych sekundy.Im większe obciążenie pamięci, tym dłużej zajmie całaoperacja: na Core i7-4770K ustawienie Iterations 10, Memory 1000,Paralellism 2 zabiera już 15 sekund. Te domyślnie ustawienia nie sąjednak wcale takie słabe, w dodatku pozostałe ustawienia funkcji sązgodne z zaleceniami autorów Argona2: przy każdym zapisie bazygenerowana jest 256-bitowa sól, długość tagów to 256 bitów, niestosuje się żadnych tajnych kluczy ani powiązanych danych.
Dodatkowo nowa wersja KeePasa przyniosła kilka innych poprawek.Ulepszono uwierzytelnienie nagłówka i danych, zastępując funkcjęSHA-256 funkcją HMAC-SHA-256. Pozwala to np. zweryfikować nagłówekprzed odszyfrowaniem pozostałych danych, jak również sprawdzićwiarygodność bloku danych przed ich odszyfrowaniem, udostępniononowy nagłówek wtyczkom, dodano algorytm szyfrowania ChaCha20 izastosowano różne optymalizacje, dzięki którym zmniejszył sięrozmiar bazy danych.
KeePass 2.35 jest już oczywiście w naszej bazie oprogramowania wwersjina Windowsa.
