Große Unterschiede bei den Schlüsselumwandlungsrunden für KeePass und KeePassX, die ich gerne erklären würde

990
Paul Plummer

Im Folgenden verwende ich v2.32 von KeePass und v2.0.2 für KeePassX und ich verwende Linux.

Ich habe mit der Anzahl der Transformationsrunden herumgespielt und festgestellt, dass bei der Auswahl einer Sekunde Verzögerung in KeePassX (dies wird als Benchmark auf KeePassX bezeichnet wird) 21760000 Runden und KeePass 522174 erzielt. KeePassX öffnet beide Dateien sehr schnell und benötigt etwa eine Sekunde bei den 21760000 Runden Eine, während KeePass die 21760000-Runddatei in etwa 43 Sekunden öffnet. Um Salz in die Wunde zu reiben, öffnet Keepass2Android die 21760000-Datei in etwa 4 Sekunden, und die andere ist fast ganz nah.

Was verursacht einen so großen Leistungsunterschied zwischen den Schlüsseltransformationsrunden für KeePass und KeePassX?

Es scheint, dass KeePass zumindest in der Linux-Version etwas falsch macht. Anmerkung 21760000/43 ist ungefähr 522174. Ich bin etwas besorgt, dass KeePass ein falsches Sicherheitsgefühl vermitteln könnte, da es den Anschein hat, dass ein Angreifer beim Brute-Forcing potenziell effizienter sein könnte, als dies bei KeePass der Fall ist.

(Ich weiß, dass KeePass und KeePassX nicht genau miteinander verwandt sind.)

Update: Ich habe auf meinem Laptop bei der Arbeit getestet (was älter ist und die Hardware nicht annähernd so gut ist), wobei mehr aktuelle Software und KeePass v2.34 etwa 25 Sekunden und KeePassX (v2.0.3) etwa 7 Sekunden dauerte Sekunden. Wenn ich eine Chance habe, werde ich die Software auf meinem Home-Desktop aktualisieren, aber es scheint, dass die Frage immer noch gültig ist, da es sich um die aktuellste Software handelt, und dies ist immer noch ein ziemlich großer Unterschied.

1
Ich vermute, dass ein Problem mit der Mono-Implementierung des von KeePass verwendeten Krypto-Kriteriums besteht, oder wenn stattdessen ein für .NET optimierter Code in Mono ausgeführt wird, anstatt ein Problem mit KeePass selbst. Ich gehe außerdem davon aus, dass Sie zwischen KeePassX unter Linux und KeePass unter Windows viel genauere Ergebnisse sehen werden. Aber ich weiß nicht genug darüber, um eine vollständige Antwort zu geben. :-) Ben vor 7 Jahren 2
@Ben Das scheint ziemlich glaubwürdig. Ich werde sehen, ob ein Freund beides auf seinem Windows-Computer installieren würde (ich habe das Gefühl, dass KeePassX auf Plattformen einheitlicher ist). vor 7 Jahren 0

0 Antworten auf die Frage