キー導出関数と（ソルト）ハッシュの違いは何ですか？

KDFには実際には2種類あります。 1つの種類は、（別のキーのように）高エントロピー入力からキーを派生するように設計されています。これは、HMACのような高速キー付きハッシュで実行できます。他の種類は入力としてパスワードを取ります。パスワードは低エントロピーです。彼らは本質的に総当たりすることは非常に難しいことではありません。したがって、適切なパスワードハッシュは遅くなる必要があります。

あなたの質問では、for (i=0; i<bignum; i++);を追加するとハッシュが遅くなると述べました。これは実際には完全に無意味です。攻撃者はあなたのルールに従う必要はありません。攻撃者がハッシュのコピーを持っている場合、ハッシュはパスワードを保護する必要があります。攻撃者がハッシュをすばやく計算できる場合は、どれだけゆっくりとハッシュを計算しても問題ありませんあなたハッシュを計算します。ハッシュは本質的に遅い必要があります。正当なサーバーよりも速く評価するためのショートカットはありません。

「ランダム性」は、KDFがキーを生成する必要があるためです。彼らはレインボーテーブルを含む事前計算とは何の関係もありません。暗号化アルゴリズムは通常、キーについて特定の仮定を行います。特に、彼らは通常、可能なキーのセットから完全にランダムに選択されたと想定します。キーも一定の長さであることが期待されています。それらの導出関数には、任意の長さの出力が必要です。対照的に、パスワードハッシュが出力に対して多くの構造を持つ場合は問題ありません。おそらく、隣接するビットが同じ値を持つ確率は70％です。多分それは128ビットのエントロピーを4096ビットの出力に広げます。元に戻すのが難しい限り、それは細かいハッシュですが、キーとしては不適切です。

安全なパスワードベースの鍵導出関数は、安全なパスワードハッシュです（PBKDF2は、実際には大きな3つのハッシュの1つです）。その逆は必ずしも真ではありません。どちらを使用するかは簡単です。パスワードベースのキー導出関数を使用してパスワードからキーを導出し、ハッシュを使用してパスワードを格納します。