Argon2.

Argon2 は、Biryukov、Dinu、Khovratovich が設計したメモリ消費型の鍵導出・パスワードハッシュ関数で、2015 年の Password Hashing Competition で優勝し、RFC 9106 として標準化されました。3 つの変種があります。Argon2d(データ依存のインデックス参照で最も高速だが、メモリアクセスパターンが秘密値に依存するためサイドチャネルから漏洩する)、Argon2i(データ非依存でサイドチャネル耐性を持つが、時間・メモリのトレードオフ攻撃には比較的弱い)、そして推奨される Argon2id(最初のパスの前半に Argon2i のインデックス参照を、それ以降に Argon2d を使うハイブリッド)です。

その安全性は、計算全体を通じて保持しなければならない大きなメモリブロックを埋めることに由来します。この メモリ難度 こそが旧来の方式に対する鍵となる利点です。GPU や ASIC のクラッカーは安価なハッシュコアを数千個並列に動かせますが、各コアに数百メビバイトもの高速 RAM を安価に与えることはできません。そのため Argon2 は、PBKDF2 や、わずか約 4 KiB しか使わない bcrypt よりもはるかに大きく、推測 1 回あたりのコストを引き上げます。調整可能なパラメータは、メモリコスト(m)、時間/反復回数(t)、並列度(p)、出力長です。

RFC 9106 は 2 つのプロファイルを推奨しています。高メモリの選択肢として m=2 GiB、t=1、p=4、メモリ制約のある選択肢として m=64 MiB、t=3、p=4 です。OWASP の Password Storage Cheat Sheet は、保守的な Web サーバー向けの基準として Argon2id、m=19456(19 MiB)、t=2、p=1 を示しています。Argon2 は常にパスワードごとに一意なランダムソルトと組み合わせ、パラメータは自身のレイテンシ予算に合わせて調整してください。

flowchart LR
  P[パスワード] --> H[Argon2id]
  S[一意なランダムソルト] --> H
  PARAMS[m メモリコスト<br/>t 反復回数<br/>p 並列度] --> H
  H --> MEM[大きなメモリブロックを充填<br/>メモリ難度]
  MEM --> O[導出されたハッシュ / 鍵]
  MEM -. コストを増大 .-> GPU[GPU/ASIC クラッキングが<br/>高コストになる]