Argon2

Argon2dについてはまだ公に明かされた暗号解析が存在しないが、Argon2iについては二つの解析が明らかにされている。

一つ目の解析は、シングルパスの時は四分の一から五分の一の領域を使用して、マルチパスの時はN/e < N/2.71の領域だけを使用しても同じ計算ができるというものである^[4]。Argon2の開発者によれば、バージョン1.3でこの問題は解決された^[5]。

二つ目の解析では、いかなる記憶領域σ、時間領域τ、並列数においても、n=σ∗τとして複雑性O(n^7/4 log(n))のアルゴリズムで同じ計算ができるとしている^[6]。Argon2の開発者は、三回以上のマルチパスで運用すればこの問題は生じないとしている^[5]。しかし、ジョエル・アルウェンとエラミヤ・ブロッキはこの解析を十回以上のマルチパスでなければ確実に防げないように改良した^[7]。それでもマルチパスの回数を十回以上にすることは推奨されていない^[8]。

これらの特性により、RFC 9106ではArgon2idを使用することが推奨されている^[9]。

• phc-winner-argon2 - GitHub
• Argon2の仕様書
• RFC 9106 Argon2 Memory-Hard Function for Password Hashing and Proof-of-Work Applications