Verwendung von PBKDF2 erklären

[lz101010]

"gut genug" mit ausreichend vielen Iterationen (100k+), als Implementierungsdetail anmerken
Anzahl Iterationen muss im Code angepasst werden (aktuell 10k)
Alternativen: OPAQUE, Argon2

---

Kontext:

• PBKDF2 erlaubt einen Offline-Angriff auf das user_password durch den Server oder jemanden, der den Server/die Datenbank kompromittiert. Die anschließende Verschlüsselung encrypted private key = aes256gcm(private key, encryption key, iv) erlaubt, ebenfalls offline, eine Überprüfung des geratenen Passworts. Ein PAKE, beispielsweise OPAQUE, könnte hier Abhilfe schaffen. Wird hier der serverseitige-OPRF-Schlüssel gemeinsam mit der Passwortdatenbank geleakt, besteht das Problem allerdings trotzdem weiter (der Server kann immer einen Client mit Passwort X simulieren, wenn dessen einziges Geheimnis dieses Passwort ist).
• Würde das Passwort mittels OPAQUE gespeichert und trotzdem für encrypted private key = aes256gcm(private key, encryption key, iv) genutzt, so könnte der Server gegebenenfalls aus dem Verhalten des Clients (weitergehenden Anfragen vs Abbruch vs neue Anfrage an den Endpunkt) ableiten, ob die Entschlüsselung des private key funktioniert hat. In dem Fall würden dies wahrscheinlich ein Partitioning Oracle darstellen. Derzeit ist dies kein valider Angriff, da der Server das Passwort bereit Offline angreifen kann (oder sogar passiv beim Login erhält).