Криптографические алгоритмы

Пассворк использует разные криптографические алгоритмы на сервере и клиенте.

Обзор используемых алгоритмов

Назначение	Алгоритм	Где используется
Вывод ключа из пароля	PBKDF2	Получение мастер-ключа
Симметричное шифрование (сервер)	AES-256-CFB	Серверное шифрование БД
Симметричное шифрование (клиент)	CryptoJS AES-256-CBC	Все клиентские данные
Асимметричное шифрование	RSA-OAEP	Обмен ключами
Хеширование	SHA-256, SHA-512	Проверка паролей, целостность
Генерация случайных чисел	WebCrypto API	Генерация ключей, IV, соли

---

PBKDF2 (Password-Based Key Derivation Function 2)

PBKDF2 используется для получения криптографического ключа из мастер-пароля пользователя.

Параметры на клиенте

Параметр	Значение
Алгоритм	PBKDF2
Хеш-функция	SHA-256
Итерации	300 000
Длина выходного ключа	512 бит
Соль	20 символов, уникальная для пользователя
Библиотека	pbkdf2 (npm)

Параметры на сервере

Параметр	Значение
Алгоритм	PBKDF2
Хеш-функция	SHA-512
Итерации	600 000
Длина выходного ключа	512 бит
Библиотека	PHP hash_pbkdf2()

Различие параметров

На клиенте используется SHA-256 с 300 000 итераций для баланса между безопасностью и производительностью в браузере. На сервере применяются более строгие параметры (SHA-512, 600 000 итераций) для хеширования паролей аутентификации.

Соль

Параметр	Значение
Длина	20 символов
Алфавит	A-Z, a-z, 0-9, @, ! (64 символа)
Энтропия	~120 бит
Генерация	На сервере, криптографически безопасная
Хранение	На сервере, в профиле пользователя
Уникальность	Уникальная для каждого пользователя

Генерация на сервере

Соль всегда генерируется на сервере и передаётся клиенту. Клиент не генерирует соль самостоятельно, что гарантирует использование криптографически безопасного генератора.

Формат результата

Результат PBKDF2 на клиенте кодируется в строку формата:

pbkdf:sha256:300000:64:{salt}

Назначение высокого числа итераций

Большое количество итераций (300 000+) значительно замедляет атаки перебором:

• Одна попытка подбора занимает существенное время
• Параллельный перебор на GPU затруднён
• Использование предвычисленных таблиц невозможно из-за уникальной соли

Автоматическая миграция хешей

Система поддерживает автоматическую миграцию хешей PBKDF2 при изменении параметров.

Формат хеша на сервере:

pbkdf:{base64_hash}:{algorithm}:{iterations}:{length}:{salt}

Пример: pbkdf:Abc123...==:sha512:600000:64:xY3zKmN9qR2w...

Механизм миграции:

1. Пользователь входит в систему
2. Система проверяет параметры существующего хеша
3. Если параметры отличаются от текущих настроек → требуется перехеширование
4. Пароль автоматически хешируется с новыми параметрами
5. Новый хеш сохраняется в базу данных

Что можно обновлять:

Параметр	Текущее значение	Примеры новых значений
Алгоритм хеширования	SHA-512	SHA3-512, BLAKE2b512
Количество итераций	600 000	1 000 000, 2 000 000
Длина ключа	512 бит	256, 1024 бит

Постепенная миграция

При обновлении параметров:

• Новые пользователи → сразу получают хеши с новыми параметрами
• Существующие пользователи → миграция происходит при следующем входе
• Пользователи без входа → старые хеши продолжают работать

Миграция происходит прозрачно для пользователя — он просто вводит пароль как обычно.

---

AES (Advanced Encryption Standard)

Пассворк использует разные режимы AES на сервере и клиенте.

Серверное шифрование: AES-256-CFB

На сервере используется AES-256 в режиме CFB (Cipher Feedback) через OpenSSL.

Параметр	Значение
Алгоритм	AES-256-CFB
Длина ключа	256 бит
Размер блока	128 бит
Вектор инициализации (IV)	128 бит, случайный
Библиотека	OpenSSL (через PHP)

Особенности режима CFB:

• Потоковый режим шифрования
• Не требует дополнения (padding)
• IV хранится вместе с шифротекстом

Применение: шифрование данных в БД (внешние ссылки, настройки, LDAP/SMTP пароли).

Генерация IV на сервере:

Параметр	Значение
Длина	128 бит
Генератор	Криптографически безопасный (CSPRNG ОС)
Уникальность	Новый IV для каждой операции шифрования
Хранение	В начале зашифрованных данных

Структура зашифрованных данных: [128 бит IV][шифротекст]

Клиентское шифрование: CryptoJS AES-256-CBC

На клиенте используется библиотека CryptoJS для всех операций симметричного шифрования.

Параметр	Значение
Библиотека	CryptoJS
Режим	CBC (Cipher Block Chaining)
Длина ключа	256 бит
Дополнение	PKCS#7
IV	Автоматический (128 бит)
KDF	Встроенная функция вывода ключа
Кодирование результата	Base32

Преобразование ключа в AES-256:

Симметричные ключи в Пассворке имеют длину 100 символов (~596 бит энтропии), но AES-256 требует ровно 256-битный ключ. CryptoJS автоматически выполняет преобразование через функцию вывода ключа (KDF):

1. Генерируется случайная 64-битная соль
2. Исходный 100-символьный ключ преобразуется в 256-битный ключ AES
3. Соль сохраняется вместе с шифротекстом для расшифровки

Почему избыточная энтропия?

Входные 596 бит гарантируют максимальную стойкость выходного 256-битного ключа. Это также обеспечивает унификацию — все симметричные ключи (сейфа, записи, вложения) генерируются одинаково.

Генерация IV на клиенте:

CryptoJS автоматически генерирует IV при каждом шифровании:

Параметр	Значение
Длина	128 бит
Генератор	window.crypto.getRandomValues()
Уникальность	Новый IV для каждой операции шифрования
Формат хранения	Включён в OpenSSL-совместимый формат

Формат вывода CryptoJS: "Salted__" + [64 бит соль] + [шифротекст с IV] → Base64

Почему разные режимы?

Критерий	Сервер (CFB)	Клиент (CBC)
Библиотека	OpenSSL	CryptoJS
Причина выбора	Стандарт PHP	Обратная совместимость
Преимущества	Потоковый режим	Широкая поддержка

CryptoJS vs WebCrypto API

Для симметричного шифрования на клиенте используется библиотека CryptoJS, а не нативный WebCrypto API. Ниже представлено сравнение этих подходов.

Сравнение:

Аспект	CryptoJS	WebCrypto API
Реализация	Чистый JavaScript	Нативный код браузера
Производительность	Медленнее	Значительно быстрее
Защита от timing attacks	Нет гарантий	Защита на уровне реализации
Управление памятью	Ключи в JS heap	Ключи могут быть non-extractable
API	Синхронный	Асинхронный (Promise)
Совместимость	Любое JS-окружение	Только современные браузеры

Почему используется CryptoJS:

1. Обратная совместимость — существующие зашифрованные данные используют формат CryptoJS
2. Синхронный API — проще интеграция в существующую кодовую базу
3. Универсальность — работает в любом JavaScript-окружении

Меры безопасности в текущей реализации:

• PBKDF2 через отдельную библиотеку — мастер-ключ выводится через криптографически стойкий PBKDF2
• WebCrypto для RSA — критичные асимметричные операции выполняются через нативный API
• Криптографически безопасная генерация IV — через crypto.getRandomValues(), а не Math.random()
• Данные шифруются один раз — timing attacks требуют многократных операций с одним ключом

Оценка рисков:

Угроза	Уровень риска	Обоснование
Timing attacks	Низкий	Требуют локального доступа к браузеру
Memory exposure	Низкий	При наличии такого доступа проще перехватить пароль при вводе
Известные CVE	Минимальный	Используемая версия CryptoJS не имеет критических уязвимостей

Перспективы развития

В будущих версиях планируется постепенный переход на WebCrypto API для симметричного шифрования. Это позволит:

• Использовать AES-GCM (authenticated encryption) вместо AES-CBC
• Повысить производительность в 10-100 раз
• Обеспечить защиту ключей на уровне браузера

Миграция будет выполнена с сохранением обратной совместимости для существующих данных.

---

RSA (Rivest–Shamir–Adleman)

RSA используется для асимметричного шифрования — безопасного обмена симметричными ключами между пользователями.

Параметры

Параметр	Значение
Алгоритм	RSA-OAEP
Длина модуля	2048 бит
Публичная экспонента	65537 (0x010001)
Хеш-функция	SHA-256
Библиотека	WebCrypto API (crypto.subtle)

Генерация ключей

RSA-ключи генерируются на клиенте с использованием WebCrypto API:

crypto.subtle.generateKey({
  name: 'RSA-OAEP',
  modulusLength: 2048,
  publicExponent: new Uint8Array([0x01, 0x00, 0x01]),
  hash: 'SHA-256'
}, true, ['encrypt', 'decrypt'])

Форматы хранения

Ключ	Формат	Описание
Публичный	SPKI (PEM)	SubjectPublicKeyInfo
Приватный	PKCS#8 (PEM)	Зашифрован мастер-ключом

Поддержка форматов

Система поддерживает импорт ключей в форматах:

• PKCS#1 — -----BEGIN RSA PRIVATE KEY-----
• PKCS#8 — -----BEGIN PRIVATE KEY-----
• SPKI — -----BEGIN PUBLIC KEY-----
• JWK — JSON Web Key (для конвертации)

Обратная совместимость

Для старых 1024-битных ключей используется fallback на библиотеку JSEncrypt, так как WebCrypto API не поддерживает RSA-1024.

Почему RSA-2048?

Аспект	Описание
Безопасность	Эквивалентна 112 битам симметричного шифрования
Производительность	Приемлемая скорость в браузере
Совместимость	Широкая поддержка во всех браузерах

---

Хеширование

SHA-256

Параметр	Значение
Длина хеша	256 бит
Библиотека (клиент)	js-sha256
Использование	Хеш мастер-ключа, PBKDF2, RSA-OAEP

SHA-512

Параметр	Значение
Длина хеша	512 бит
Библиотека (клиент)	js-sha512
Библиотека (сервер)	PHP hash()
Использование	PBKDF2 на сервере, хеш серверного ключа, индексы поиска

---

Генерация случайных чисел

Все криптографические параметры генерируются с использованием криптографически стойких генераторов случайных чисел (CSPRNG).

Источники энтропии

На сервере (PHP)

Генератор	Источник энтропии	Применение
random_bytes()	CSPRNG операционной системы	Бинарные данные (ключи, токены)
random_int()	CSPRNG операционной системы	Символьные строки (соли, коды)

Источники энтропии ОС:

• Linux: /dev/urandom, getrandom() syscall
• Windows: CryptGenRandom() (CryptoAPI)
• macOS: arc4random_buf()

На клиенте (JavaScript)

Генератор	Источник энтропии	Применение
window.crypto.getRandomValues()	CSPRNG браузера/ОС	Числа, массивы
CryptoJS.lib.WordArray.random()	crypto.getRandomValues()	IV для AES

Источники энтропии браузера:

• Chromium/Electron: BoringSSL CSPRNG
• Firefox: NSS (Network Security Services)
• Safari: CommonCrypto (Apple)

Гарантии криптографической стойкости

Свойство	Гарантия
Непредсказуемость	Невозможно предсказать следующее значение
Равномерное распределение	Все значения равновероятны
Несмещённость	Используется rejection sampling
Доступность	Генераторы не блокируются

Генерируемые ключи и токены

Что генерируется	Длина	Алфавит	Энтропия
Симметричные ключи
Ключ сейфа	100 символов	A-Z, a-z, 0-9, @, !	~596 бит
Ключ записи	100 символов	A-Z, a-z, 0-9, @, !	~596 бит
Ключ вложения	100 символов	A-Z, a-z, 0-9, @, !	~596 бит
Ключ ссылки	100 символов → 256 бит	A-Z, a-z, 0-9, @, !	~596 бит вход
Ключ шифрования сервера	256 бит	Бинарный	256 бит
Соли
Соль PBKDF2	20 символов	A-Z, a-z, 0-9, @, !	~120 бит
Соль сейфа	32 символа	A-Z, a-z, 0-9, @, !	~190 бит
Токены и секреты
Secret Code (localStorage)	100 символов	A-Z, a-z, 0-9	~596 бит
Extension Secret	60 символов	A-Z, a-z, 0-9	~357 бит
Auth Token (расширение)	400 бит	Hex	400 бит
Токен внешней ссылки	43 символа	A-Z, a-z, 0-9	~256 бит
Session токены
Access Token	256 бит	Base64	256 бит
Refresh Token	256 бит	Base64	256 бит
Векторы инициализации
IV (сервер, AES-CFB)	128 бит	Бинарный	128 бит
IV (клиент, AES-CBC)	128 бит	Бинарный	128 бит

Проверка уникальности токенов

Для токенов, требующих гарантированной уникальности (токены ссылок, invite-коды), выполняется проверка в базе данных:

1. Генерируется случайный токен
2. Проверяется уникальность в БД
3. При коллизии — генерируется заново
4. Возвращается гарантированно уникальный токен

Вероятность коллизии:

• 43 символа из 62: ~10^77 комбинаций
• При миллиарде токенов: вероятность коллизии ≈ 10^-59
• Практически невозможно

---

Криптографические библиотеки

На клиенте (JavaScript/TypeScript)

Библиотека	Назначение
WebCrypto API	RSA операции, случайные числа
CryptoJS	AES шифрование (все данные)
js-sha256	SHA-256 хеширование
js-sha512	SHA-512 хеширование
pbkdf2	PBKDF2 вывод ключа
node-jsencrypt	RSA fallback (1024-бит)
pem-jwk	Конвертация PEM ↔ JWK
totp-generator	Генерация TOTP кодов

На сервере (PHP)

Компонент	Назначение
OpenSSL	AES-256-CFB шифрование
hash()	SHA-256, SHA-512 хеширование
hash_pbkdf2()	PBKDF2 вывод ключа
random_bytes()	Генерация случайных данных

---

Сравнение с отраслевыми стандартами

Параметр	Пассворк	NIST рекомендации (2024)	Статус
Симметричное шифрование	AES-256	AES-128/192/256	✓
Асимметричное шифрование	RSA-2048	RSA-2048+	✓
Хеширование	SHA-256/512	SHA-2 family	✓
PBKDF2 итерации	300K/600K	≥310K (SHA-256)	✓
Генератор случайных чисел	CSPRNG	CSPRNG	✓

Версия для LLM