Насколько это эффективно?

Question

[Владимир Шикльгрубер]

Привет. Оговорюсь сразу о том что на функцию наткнулся случайно.

$str = hash_hmac(HASH, $str, HASH_SECRET1);

        for ($i = 0; $i < 100; $i++) {
            $str = md5($str);
        }

Я так понимаю что сначала мы хешируем $str каким то надёжным алгоритмом (допустим sha512) потом полученный хеш хешируем ещё 100 раз функцией md5 (если я правильно понял о цикле)
Заранее спасибо
PS
немножко покрутил я эту идею и написал вот такой вот класс

class security {

    function salt() {
        $chars = "qazxswedcvfrtgbnhyujmkiolp1234567890QAZXSWEDCVFRTGBNHYUJMKIOLP";
        $max = HASH_SALT;
        $size = StrLen($chars) - 1;
        $salt = null;
        while ($max--) {
            $salt.=$chars[rand(0, $size)];
        }
        return $salt;
    }

    public function NewHash5($str) {
        $salt = self::salt();
        $str = hash_hmac(HASH, HASH_SECRET3 . $str . $salt, HASH_SECRET1);

        for ($i = 0; $i < 100; $i++) {
            $str = hash('sha1', $str);
        }

        for ($i = 0; $i < HASH_REKURS; $i++) {
            $str = hash('whirlpool', HASH_SECRET3 . $str . $salt.HASH_SECRET2);
        }

        for ($i = 0; $i < 10; $i++) {
            $str = hash('haval128,3', $str);
        }

        for ($i = 0; $i < 10; $i++) {
            $str = hash('adler32', $str);
        }

        $return['hash'] = HASH_SECRET2 . $str;
        $return['salt'] = $salt;
        return $return;
    }

}

Если использовать соль в 60 символов то отработка на сервере занимает 0.00152683
меряю вот таким кусочком кода

substr(microtime(true) - $_SERVER["REQUEST_TIME_FLOAT"], 0, 10)

Answer 1

[Mikhail Osher]

bcrypt в помощь.

// EDIT

Крайне неэффективно.

// EDIT2

Генерация случайной строки (вместо вашей функции salt, длину отрегулируйте):

bin2hex(openssl_random_pseudo_bytes(21));

Comments

[Владимир Шикльгрубер]

вопрос был задан не о том что использовать.

Answer 2

[Дмитрий Ковальский]

Я не криптолог, но помоему это бешеный overhead. Лучше алгоритм засолки похитрее сделайте.

Comments

[Владимир Шикльгрубер]

это я так думаю для снижения скорости бруто. В цикле я думаю можно заюзать кучу разных алгоритмов.

[Владимир Шикльгрубер]

а соль спокойно сделать можно за мин 6

[Дмитрий Ковальский]

Владимир Шикльгрубер: Вы когда нибудь готовили на кухне? Можно "посолить по вкусу" готовое блюдо. А можно в процессе приготовления, с помешиванием и вдумчиво. Это разные процессы и разные результаты. Вы можете 100 раз крутить хитрые алгоритмы хэширования, а можно 1 раз sha512 , но сообщение просоленное через символ случайной буквой,а итоговую соль хранить черти где по частям в зашифрованном виде. Тоже будет очень тяжело, но может идею поймете про что я.

[Владимир Шикльгрубер]

Дмитрий Ковальский: соль зашифрована алгоритмом xxtea храниться в файле. Файл не доступен из вне. только скрипту.