Algoritmi de criptare bidirecțională similari cu bcrypt

Am nevoie de un algoritm care să poată îndeplini o sarcină foarte specifică: luați un șir scurt, criptați-l folosind un algoritm care poate fi scalat pentru a ține pasul cu Legea lui Moore/are un factor de dovadă a muncii/este neobișnuit de lent, și apoi, mai târziu, decriptați-l cu același cost de timp.

Cazul de utilizare este o listă de adrese de e-mail stocate pentru o listă de corespondență de către un client conștient de securitate, care urmează să fie decriptate una câte una pentru fiecare e-mail; scopul este de a face ca forțarea brută să consume cât mai mult timp. Am căutat câțiva dintre candidații probabili (AES-256, mcrypt, twofish, scrypt), dar nu este clar care ar fi cel mai potrivit.

Pentru ceea ce sperați să faceți, alegerea cifrului bloc nu este probabil la fel de importantă ca și mod de operare. Ceea ce aveți nevoie este un mod de operare în care atât criptarea, cât și decriptarea nu sunt paralelizate și apoi să repetați de mai multe ori, ceea ce este supărător, dar nu imposibil.

Recomandarea mea este să utilizați modul Output Feedback (OFB). Generați o valoare inițială unică; introduceți acest lucru în (de exemplu) cifrul bloc AES; apoi reintroduceți rezultatul în cifr și repetați, să spunem, $2^{35}$ ori in functie de exact cât timp vrei să ceri de la client. Apoi XOR iese viitoare pe adresa de e-mail. Timpul de criptare/decriptare va scădea odată cu legea lui Moore, dar nu există niciun beneficiu în cumpărarea mai multor hardware.

Acum, după ce a decriptat o dată, clientul ar putea pur și simplu să salveze ultima valoare de ieșire înainte de XORing, dar, în egală măsură, ar putea salva adresa odată decriptată.

O altă opțiune ar fi utilizarea modului Propagating Cipher-Block Chaining (PCBC), dar acest lucru ar implica generarea de atâtea intrări de neghicit câte numărul de iterații care se simte inutile.