Comparative analysis of password hashing competition finalists: security, efficiency, compliance, and future trends in key derivation

Abstract

Text in Turkish ; Abstract: Turkish and EnglishIncludes bibliographical references (leaves 32-36)xii, 37 leavesParola karma ve anahtar türetme fonksiyonlarının uygulanması, kullanıcı kimlik bilgilerinin kaba kuvvet saldırılarına ve yetkisiz erişime karşı korunmasını amaçlayan kimlik doğrulama ve kriptografik güvenlik şemalarının temelini oluşturmaktadır. PBKDF2, bcrypt ve scrypt gibi parola karma algoritmaları günümüzde oldukça popüler olmasına rağmen modern donanımdaki gelişmeler, paralel işlem yetenekleri ve gelişmiş kriptoanalitik saldırılar karşısında yetersiz kalmaktadır. Bu eksiklikleri gidermek amacıyla, 2013 yılında parola karma yarışması başlatılmış ve parola karma için 22 aday fonksiyonel değerlendirmeye alınmıştır. Yapılan kapsamlı incelemeler sonucunda, güvenlik, hız, bellek dostu olma, esneklik ve verimlilik kriterlerine dayanarak 9 finalist belirlenmiştir. Bu çalışma, parola karma yarışması finalistleri olan Argon, battcrypt, Catena, Lyra2, MAKWA, Parallel, POMELO, Pufferfish ve yescrypt üzerine yapılan derleme ve performans değerlendirme çalışmalarını ele almaktadır. Finalistler mimari açıdan değerlendirilmiş, güvenlik özellikleri, bellek kullanım dayanıklılığı, performans açısından avantaj ve dezavantajları ayrıca pratik kullanımları incelenmiştir. Bu yeni fonksiyonların geleneksel parola karma algoritmaları ile kıyaslanarak eksiklikleri ve avantajları ortaya konmuştur. Parola karma algoritmalarının kuantum sonrası dayanıklılığı ele alınarak, bu fonksiyonların kuantum saldırılarına karşı dayanıklılığı ve ek bir güvenlik önlemi olarak kullanılan "peppering" tekniğinin rolü araştırılmıştır. Ayrıca parola karma yarışması finalistlerinin NIST SP 800-63B, OWASP ASVS, PCI DSS, GDPR, KVKK ve ISO/IEC 27001 gibi küresel standartlar ve regülasyonlarla olan uyumluluklarını kapsamlı bir şekilde haritalandırılarak, regülasyonlara uyumlu olması gereken organizasyonlarda güvenli dağıtım için pratik uygunlukları değerlendirilmiştir. Son olarak, web kimlik doğrulaması, anahtar türetme fonksiyonları ve gömülü platformlar için bu fonksiyonların kullanımına yönelik öneriler sunulmuştur. Bu çalışmanın amacı, en güncel parola karma ve anahtar türetme fonksiyonları hakkında bilgi sahibi olması gereken araştırmacılar, geliştiriciler ve güvenlik mühendisleri için bir referans kaynağı olmaktır.The application of password hashes and key derivation functions (KDFs) is core to authentication and cryptographic security schemes crafted to defend user credentials from brute-force attacks and unauthorized access. Password hashing algorithms, for example PBKDF2, bcrypt, or scrypt, are very popular today, but are lacking in the face of modern hardware acceleration, parallel processing, and advanced cryptanalytic attacks. To contest these shortcomings, the Password Hashing Competition (PHC) was started in 2013 and had 22 candidates for functions for hashing passwords. After thorough evaluation, 9 finalists were selected based on how secure, fast, memory-friendly, flexible, and efficient these functions were. This study discusses the survey and benchmark studies of the PHC finalists: Argon, battcrypt, Catena, Lyra2, MAKWA, Parallel, POMELO, Pufferfish, and yescrypt. We have evaluated these functions from an architectural standpoint and studied their security features, memory hardness, performance trade-off, and practical usage. These functions also need to be compared with traditional password hashing functions, and this was done to evaluate the new functions’ flaws and advantages. We also investigate the post-quantum assumption for password hashing – the effectiveness of these functions against quantum assaults, their position in a new cryptography set, and the role of peppering as an additional security measure. In addition, we perform a comprehensive compliance mapping of the PHC finalists against major global standards and regulations such as NIST SP 800-63B, OWASP ASVS, PCI DSS, GDPR, KVKK, and ISO/IEC 27001, highlighting their practical suitability for secure deployment in regulated environments. Finally, we provide usage recommendations for these functions for web authentication, KDFs, and embedded platforms. The purpose of this paper is to serve as a reference for researchers, developers, and security engineers who need to have a solid grasp of state-of-the-art password hashing and key derivation techniques.KDF ARAŞTIRMALARINA GENEL BAKIŞMEVCUT KDF’LERDEKİ SINIRLAMALAR VE ZORLUKLARPAROLA KARMASINA GENEL BAKIŞANAHTAR TÜRETME FONKSİYONLARITUZLAMA VE BİBERLEME İLE GÜVENLİĞİN ARTIRILMASIPAROLA KARMA YARIŞMASIBELLEK-ZORLAYICI FONKSİYONLAR VE ZAMAN-BELLEK DENGELEMESİKUANTUM SONRASI KRİPTOGRAFİ VE ANAHTAR TÜRETME FONKSİYONLARISTANDARTLAŞMA VE REGÜLASYON UYUMUPAROLA SAKLAMA İÇİN KRİPTOGRAFİK STANDARTLARVERİ KORUMA REGÜLASYONLARI VE KRİPTOGRAFİK BEKLENTİLERGenel Bir KDF'nin Sahte Kod UygulamasıParola Karma İşleminde Tuz (Salt) Kullanma SüreciParola Karma İşleminde Biber (Pepper) Kullanım SüreciKDF Üzerine Önceki Çalışmaların ÖzetiMevcut KDF'lerdeki (PHC Finalistleri) Sınırlamalar ve ZorluklarKDF ÖzetleriPHC Finalistlerinin Performans KarşılaştırmasıPHC Finalistlerinin Güvenlik KarşılaştırmasıUyumluluk Haritalaması: PHC Finalistleri ve Küresel Kriptografik StandartlarUyumluluk Haritalaması: PHC Finalistleri ve Küresel Kriptografik Standartla