Kriptografide,scrypt (telaffuz "es-kript"), Colin Percival tarafından Tarsnap çevrimiçi yedekleme hizmeti için oluşturulan bir parola tabanlıanahtar türetme fonksiyonudur.[1] Bualgoritma, büyük miktarda bellek gerektirerek büyük ölçekli özel donanım saldırılarını gerçekleştirmeyi pahalı hale getirmek için özel olarak tasarlanmıştır. 2016 yılında, scrypt algoritmasıIETF tarafındanRFC 7914 olarak yayınlandı. Scrypt algoritmasının, ArtForz kullanıcı adına sahip ve gerçek adı bilinmeyen bir programcı tarafından implemente edilmiş, basitleştirilmiş bir sürümü, önce Tenebrix'te ve ardından Fairbrix veLitecoin olmak üzere bir dizikripto para birimi tarafındaniş kanıtı şeması olarak kullanıldı.
Parola tabanlı biranahtar türetme fonksiyonu (parola tabanlı KDF), genel olarak hesaplama açısından yoğun olacak şekilde, hesaplanması nispeten uzun zaman almak üzere (birkaç yüz milisaniye civarlarında) tasarlanmıştır. Ancak meşru kullanıcıların, işlem başına yalnızca bir kez (örneğin kimlik doğrulama) bir işlemi gerçekleştirmeleri gerektiği için bu süre göz ardı edilebilir. Buna rağmen, bir kaba kuvvet (brute-force) saldırısının bu işlemi milyarlarca kez gerçekleştirmesi gerektiği göz önüne alındığında, zaman gereksinimleri önemli ve dolayısıyla kısıtlayıcı hale gelir.
Önceki parola tabanlı KDF'lerin (RSA Laboratories'den gelen popüler PBKDF2 gibi) göreceli olarak düşük kaynak(sistem) talepleri vardır, bu da ayrıntılı donanım veya çok fazla bellek gerektirmedikleri anlamına gelir. Bu nedenle donanımda kolay ve ucuz bir şekilde uygulanırlar (örneğin birASIC veya birFPGA üzerinde ). Bu, yeterli kaynaklara sahip bir saldırganın donanımdaki algoritmanın yüzlerce hatta binlerce farklı implementasyonunu üreterek ve her birinin anahtar alanın farklı bir alt kümesini aramasını sağlayarak geniş çaplı bir paralel saldırı başlatmasına olanak sağlar. Bu, kaba kuvvet saldırısını tamamlamak için gereken süreyi, mevcut implementasyonların sayısına bölerek büyük olasılıkla makul bir zaman dilimine indirger.
Scrypt fonksiyonu, algoritmanın kaynak taleplerini artırarak bu tür girişimleri engellemek için tasarlanmıştır. Spesifik olarak, algoritma diğer parola tabanlı KDF'lere kıyasla büyük miktarda bellek kullanmak üzere tasarlanmıştır ve bu sayede[2] donanım uygulamasının boyutunu ve maliyetini çok daha pahalı hale getirir ve bu nedenle belirli miktarda mali kaynağa sahip bir saldırganın kullanabileceği paralellik miktarını sınırlar.
Scrypt'in büyük bellek gereksinimleri, algoritmanın bir parçası olarak üretilen büyük birsözde rassal bit dizgisi vektörü tarafından sağlanır. Vektör oluşturulduktan sonra, elementlerinesözde rassal sırayla erişilir ve türetilmiş anahtarı üretmek için birleştirilir. Basit bir uygulamanın, tüm vektörün RAM'de tutulması gerekir, böylece gerektiği gibi erişilebilir.
Vektörün elemanları algoritmik olarak üretildiğinden, bir anda sadece bir elemanı hafızaya kaydedecek ve bu nedenle hafıza gereksinimlerini önemli ölçüde azaltacak bir şekilde, her elemananında gerektiği gibi üretilebilir. Buna rağmen, her bir elemanın üretilmesinin hesaplama açısından pahalı olması amaçlanmıştır ve elemanlara fonksiyonun yürütülmesi boyunca birçok kez erişilmesi beklenmektedir. Bu sayede, büyük bellek gereksinimlerinden kurtulmak için hızdan önemli bir derecede vazgeçilmesi gerekir.
Bu tür bir zaman-hafıza değiş tokuşu genellikle bilgisayar algoritmalarında mevcuttur: daha fazla bellek kullanma maliyetiyle hız arttırılabilir veya daha fazla işlem gerçekleştirme ve gerekli sürecin uzaması maliyetiyle bellek gereksinimleri azaltılabilir. Script'in ardındaki fikir, bu takası kasıtlı olarak her iki yönde de maliyetli yapmaktır. Böylece bir saldırgan çok fazla kaynak gerektirmeyen bir uygulama kullanabilir (ve bu nedenle sınırlı masrafla büyük ölçüde paralel olabilir) ancak çok yavaş çalışır ya da paralel olmak için daha hızlı çalışan ancak çok büyük bellek gereksinimi olan ve bu nedenle daha pahalı olan bir uygulamayı kullanabilir.
Algoritma aşağıdaki parametreleri içerir:
Function scrypt
Inputs: Passphrase: Bytesstring of characters to be hashed Salt: Bytesrandomsalt CostFactor (N): IntegerCPU/memory cost parameter BlockSizeFactor (r): Integerblocksize parameter (8 is commonly used) ParallelizationFactor (p): IntegerParallelization parameter. (1..232-1 * hLen/MFlen) DesiredKeyLen: IntegerDesired key length in bytesOutput: DerivedKey: Bytesarray of bytes, DesiredKeyLen longStep 1. Generate expensive salt blockSize ← 128*BlockSizeFactor//Length (in bytes) of the SMix mixing function output (e.g. 128*8 = 1024 bytes)Use PBKDF2 to generate initial 128*BlockSizeFactor*p bytes of data (e.g. 128*8*3 = 3072 bytes)Treat the result as an array ofp elements, each entry beingblocksize bytes (e.g. 3 elements, each 1024 bytes) [B0...Bp−1] ←PBKDF2HMAC-SHA256(Passphrase,Salt, 1, blockSize*ParallelizationFactor)Mix each block inB 2CostFactor times usingROMix function (each block can be mixed in parallel)for i ← 0to p-1do Bi ← ROMix(Bi, 2CostFactor)All the elements of B is our new "expensive" salt expensiveSalt ← B0∥B1∥B2∥ ... ∥Bp-1//where ∥ is concatenationStep 2. Use PBKDF2 to generate the desired number of bytes, but using the expensive salt we just generatedreturn PBKDF2HMAC-SHA256(Passphrase, expensiveSalt, 1, DesiredKeyLen);
PBKDF2 (P, S, c, dkLen) notasyonu [rfc:2898 RFC]2898'de tanımlandığı zaman ve c değeri iterasyon miktarını belirttiği zaman.
Bu gösterim,RFC 7914 tarafından PBKDF2'nin c=1 iken olan kullanımını belirtmek için kullanılır.
Function ROMix(Block, Iterations)CreateIterations copies ofX X ← Blockfor i ← 0to Iterations−1do Vi ← X X ← BlockMix(X)for i ← 0to Iterations−1do j ← Integerify(X) mod Iterations X ← BlockMix(Xxor Vj)return XBuradaRFC 7914Integerify(X)'i X'in son 64 baytınınlittle-endian(en önemli byte en sağda olan) A1 tam sayısı olarak yorumlamasının sonucu olarak tanımlar.
İterasyonlar N'in karesine eşit olduğu için, X'in son 64 baytı içinden sadeceilk Tavan(N / 8) olan ve little-endian tam sayı olan A2 olarak yorumlanan baytlar,Integerify (X) 'mod yineleme = A1 mod yineleme = A2 mod yineleme denkleminin hesaplanmasında kullanılır.
Function BlockMix(B):The block B is r 128-byte chunks (which is equivalent of 2r 64-byte chunks) r ← Length(B) / 128;Treat B as an array of 2r 64-byte chuncks [B0...B2r-1] ← B X ← B2r−1for i ← 0to 2r−1do X ← Salsa20/8(X xor Bi)//Salsa20/8 hashes from 64-bytes to 64-bytes Yi ← Xreturn ← Y0∥Y2∥...∥Y2r−2 ∥ Y1∥Y3∥...∥Y2r−1
Salsa20/8, Salsa20'nin 8'lik versiyon olduğu durumda .
Scrypt birçok kripto para birimindeçalışma kanıtı algoritması olarak kullanılır. İlk olarak Tenebrix (Eylül 2011'de yayımlanan) için implemente edildi ve temel olarak kullanıldığı Litecoin veDogecoin de ayrıca scrypt algoritmasını benimseyip, kabul etmiştir. Scrypt kullanankripto para birimlerinin madenciliği genellikle ekran kartlarında (GPU'lar ) gerçekleştirilir, çünkü ekran kartları işlemcilere kıyasla daha fazla işlem gücüne (bazı algoritmalar için) sahip olma eğilimindedirler. Bu durum, bu para birimlerinin Kasım ve Aralık 2013 aylarında yükselen fiyatı nedeniyle bu tarihlerde son model ekran kartlarının piyasada sayılarının azalmasına yol açtı.
Mayıs 2014 itibarıyla, scrypt tabanlı kripto para birimleri için özelleştirilmişASIC madencilik donanımı elde etmek mümkün. 2016 yılında ise InnoSilicon, 1.5 µJ/hash verim ile 14 nm teknolojisine sahip olduğunu iddia etmiştir.[3]