Derivasi Kunci PBKDF2 & HKDF

Apa itu Derivasi Kunci PBKDF2 & HKDF?

Derivasi Kunci PBKDF2 & HKDF adalah alat gratis di browser yang menjalankan dua fungsi derivasi kunci yang paling sering dipakai pengembang. PBKDF2 (Password-Based Key Derivation Function 2) sengaja memperlambat serangan brute force dengan mengulang HMAC ribuan kali, mengubah kata sandi manusia ditambah salt menjadi kunci berpanjang tetap. HKDF (HMAC-based Key Derivation Function) mengambil rahasia yang sudah memiliki cukup entropi dan memperluasnya menjadi satu atau beberapa subkunci yang terikat konteks menggunakan label info, ideal untuk menurunkan kunci enkripsi dan autentikasi yang terpisah dari satu rahasia master. Insinyur backend, peninjau keamanan, dan siapa pun yang menulis kode login atau enkripsi memakainya untuk menguji vektor, mereproduksi derivasi server, atau menghasilkan kunci untuk tugas sekali pakai. Gunakan tombol PBKDF2/HKDF untuk berganti algoritme, pilih SHA-256, SHA-384, SHA-512, atau SHA-1, atur panjang keluaran dalam bit, dan baca hasilnya sebagai hex atau base64.

Cara menggunakan Derivasi Kunci PBKDF2 & HKDF

1. Pilih PBKDF2 atau HKDF dengan tombol di atas, sesuai fungsi yang dipakai kode atau vektor uji Anda.
2. Ketik atau tempel kata sandi (PBKDF2) atau rahasia berentropi tinggi (HKDF) ke kolom Rahasia, lalu masukkan salt.
3. Untuk PBKDF2 atur jumlah iterasi; untuk HKDF atur label info opsional yang mengikat kunci ke suatu konteks.
4. Pilih hash (SHA-256, SHA-384, SHA-512, atau SHA-1) dan panjang keluaran dalam bit.
5. Alihkan tombol hex / base64 ke pengodean yang Anda butuhkan dan salin kunci yang diturunkan dengan tombol salin.

Contoh

Rahasia: correct horse battery staple
Salt: a1b2c3d4
Hash: SHA-256, Iterasi: 100000, Bit: 256

string hex 64 karakter (32 byte) yang dapat direproduksi untuk kata sandi, salt, hash, dan jumlah iterasi yang sama

Rahasia: 9f8e7d6c…(kunci master)
Salt: session-2024
Info: aes-gcm-encryption
Hash: SHA-256, Bit: 256

kunci 256-bit yang berbeda dari rahasia yang sama dengan Info: hmac-authentication, sehingga satu master menghasilkan subkunci yang independen

Bit: 128, pengodean dialihkan ke base64

string base64 24 karakter yang mengodekan 16 byte pertama yang diturunkan

Pertanyaan yang sering diajukan

Apakah kata sandi atau rahasia saya dikirim ke mana pun?

Tidak. Rahasia, salt, dan info tetap di browser Anda. Kunci diturunkan secara lokal dengan Web Crypto API (crypto.subtle.deriveBits), dan tidak ada yang diunggah ke atau disimpan di server mana pun, sehingga alat ini bekerja offline dan masukan Anda tidak pernah meninggalkan halaman.

Kapan harus memakai PBKDF2 versus HKDF?

Gunakan PBKDF2 untuk menurunkan kunci dari kata sandi manusia berentropi rendah — jumlah iterasinya memperlambat brute force. Gunakan HKDF ketika Anda sudah memiliki rahasia berentropi tinggi (kunci master atau rahasia bersama) dan ingin memperluasnya menjadi satu atau beberapa subkunci terpisah melalui label info. HKDF cepat dan bukan pengganti peregangan kata sandi PBKDF2.

Mengapa panjang keluaran saya dibulatkan?

deriveBits Web Crypto bekerja dalam byte utuh, jadi panjang keluaran dalam bit dibulatkan ke kelipatan 8 terdekat. Statistik di bawah hasil menampilkan bit dan byte yang benar-benar dihasilkan.

Hash dan algoritme apa saja yang didukung?

Kedua algoritme berjalan dengan SHA-256, SHA-384, SHA-512, atau SHA-1, yaitu hash yang diekspos Web Crypto browser untuk PBKDF2 dan HKDF. Scrypt, Argon2, dan bcrypt tidak disediakan karena browser tidak mengimplementasikannya secara native.

Apakah masukan yang sama selalu menghasilkan kunci yang sama?

Ya. Derivasi kunci bersifat deterministik: algoritme, rahasia, salt, hash, panjang keluaran, dan jumlah iterasi (PBKDF2) atau info (HKDF) yang sama selalu menghasilkan byte yang sama, itulah sebabnya Anda dapat menggunakannya untuk mereproduksi atau memverifikasi kunci yang diturunkan server Anda.