PHP의 password_hash FIPS를 준수합니까?

Question

나는 hash('sha256', $pw)이 FIPS를 준수한다고 믿지만 그 기능을 사용하면 공격 벡터가 가능하다는 것을 알고 있습니다. 또한, 소금이 없습니다 (그래서 내가 그 구현을 만날 것이고 나는 오히려하지 않을 것입니다). password_hash/password_verify FIPS는 준수합니까? FIPS는 단순히 적용되지 않기 때문에 이와 같이

Answer 1

번호

1. FIPS 140-2 does not certify password hashing algorithms., password_hash 수 없다는 FIPS 호환.

2. 내가 아는 한 hash() (PHP 코어의 일부인)에서 사용하는 해시 구현은 FIPS 인증을받지 못했습니다. FIPS 호환 구현이 특별히 필요한 경우 FIPS 호환 OpenSSL 라이브러리가 설치되어있는 경우 openssl_digest()을 대신 사용할 수 있습니다. (그러나 이것은 소금으로도 암호를 안전하게 저장하는 방법이 아닙니다!)