C# PasswordDeriveBytes 混乱

Question

我在 C# 中有以下代码，

PasswordDeriveBytes DerivedPassword = new PasswordDeriveBytes(Password, SaltValueBytes, HashAlgorithm, PasswordIterations);
byte[] KeyBytes = DerivedPassword.GetBytes(32);

我使用“SHA1”哈希算法。

根据SHA1定义，其生成160位（20字节）密钥。我的问题是 GetBytes 方法如何从 DerivedPassword 获取 32 个字节，GetBytes 方法背后使用什么算法？

Answer 1

Microsoft 的原始 PKCS#5（又名 PBKDF1）的实现包括不安全扩展，以提供比哈希函数可以提供的更多字节（请参阅错误报告 此处和此处）。

即使它没有错误，您也应该避免未记录的、专有的标准扩展（否则您将来可能永远无法解密您的数据 - 至少在 Windows 之外无法解密。）

我强烈建议您使用较新的 Rfc2898DeriveBytes 实现了自 .NET 2.0 起可用的 PBKDF2 (PKCS#5 v2)。

Answer 2

GetBytes 方法背后使用了什么算法？

它使用算法 PBKDF1，该算法稍作修改以允许任意密钥长度。替换类，Rfc2898DeriveBytes< /a> 使用 PBKDF2。

您可以阅读有关 PBKDF2 的维基百科文章，大致了解推动这项工作的基本概念。

Answer 3

密钥派生函数使用称为密钥延伸的功能。 （不用费心在维基百科上查找它，因为当前的文章将这个概念与密钥强化混淆了，这是完全不同的东西。）

密钥拉伸通常是通过在以下任一中应用 PRF（例如哈希函数或密码）来完成的： CTR 模式，或者通过迭代并连接中间输出。

例如，如果您使用 CTR 过程、SHA-1 作为 PRF，并且需要 32 字节的伪随机输出，则可以将 SHA1(keymaterial,0) 与 SHA1(keymaterial,1) 的前 12 字节连接起来。