パスワードハッシュを理解しようとする

その後、md5に衝突があることが証明されたため、人々はSHA1などに移行し始めました。

パスワードのハッシュには衝突耐性は必要ありません。それでも、必要なハッシュよりも弱いハッシュを使用する理由はありません。

SHA512を十分に反復して低速で作成すると、パスワードアルゴリズムでSHA512を使用できないのはなぜですか？例は、パスワードを100k回SHA512することです。

出来るよ。最初からパスワードとソルトを混ぜている限り、安全です。

標準的なスキームがたくさんある場合は、独自のスキームを発明する理由がないため、お勧めしません。

上記の代わりにPBKDF2またはbcryptが推奨されるのはなぜですか？それともなぜそうではないのですか？

なぜなら、それらは標準化されており、多くの暗号技術者によって見られてきたからです。したがって、アドホックスキームよりもスキームに弱点がないことを確信できます。

PBKDF2は本質的には反復ハッシュ関数であり、HMACを使用してパスワードとソルトを混合します。

bcryptは別の構造です。 PBKDF2は少しだけメモリを必要とするため（数kB）、必要なゲートの数が少し増えるため、そのPBKDF2を壊すのは少し難しいです。

メモリパラメータを調整できるscryptと呼ばれるスキームもあります。これにより、スキームで大量のメモリ（数メガバイト以上）を消費させることができます。これにより、特別なハードウェアが標準のハードウェアよりもはるかに効率的になることを防ぎます。
scryptはおそらくこれらのスキームの中で最も強力です。しかし、これは比較的新しく、一般的でないプリミティブを使用しているため、多くのユーザーは古いスキームを選択しています。

この回答は、「認証目的で安全に保管するためにパスワードをハッシュするためのものではない」と述べています。ただし、この回答（多くの賛成票を含む）は反対を推奨します

この質問は、パスワードハッシュを使用するPBKDF2に対するNISTの明示的な推奨事項に関するものです。密接に関連する手法であるパスワードベースのキーの導出にはPBKDF2を使用することのみを推奨します。 NIST勧告がないことは、そのスキームが悪いことを意味するものではありません。

PBKDF2関数が下にあるSHA1に依存している場合、SHA1が壊れていると証明できるかどうかは本質的に安全ではありませんか？

SHA1に対する最初のプリイメージ攻撃がある場合、それは特定の制約の下で機能します。そうであれば、SHA1を使用するPBKDF2は壊れています。一方、衝突攻撃は十分ではありません。最初のプレイメージ攻撃は、通常、衝突攻撃よりもはるかに困難です。たとえば、MD5に対するものさえ知りません。