Argon2id vs PBKDF2 — Vergleich auf einen Blick

Beide sind Schlüsselableitungsfunktionen (KDFs). Beide wandeln eine Passphrase in einen Verschlüsselungsschlüssel um. Der Unterschied liegt darin, wo sie das Budget des Angreifers verbrauchen.

Seite an Seite

• Jahr der Standardisierung: PBKDF2 — 2000. Argon2id — 2015, RFC 9106 im Jahr 2021.
• Kostendimension: PBKDF2 — nur CPU-Zeit. Argon2id — CPU-Zeit und RAM (speicherintensiv).
• GPU/ASIC-Beschleunigung vs. CPU: PBKDF2 — 100×–1000×. Argon2id — nahe 1×.
• Standardbibliotheksunterstützung: PBKDF2 — universell. Argon2id — verbreitet, aber nicht universell.
• OpenPGP-Standard: PBKDF2 — ja (S2K). Argon2id — ja, seit RFC 9580 im Jahr 2024.
• Empfohlene Verwendung: PBKDF2 — Legacy. Argon2id — alles Neue.

Beide bei Standardeinstellungen

PBKDF2-HMAC-SHA256 mit 600.000 Iterationen: ~250 ms auf CPU; ~500 ns pro Versuch auf GPU.

Argon2id mit m=65536 KiB, t=3, p=1: ~250 ms auf CPU; ~10 ms pro Versuch auf GPU.

Gleiche Kosten für den Verteidiger. 5.000.000× höhere Angreiferkosten. Das ist der einzige Grund zum Wechseln.

Wann PBKDF2 trotzdem behalten

• Beim Lesen von Legacy-Chiffretext, der mit PBKDF2 verschlüsselt wurde.
• Für Umgebungen ohne WASM.
• Bestehende FIPS-140-3-Deployments, in denen Argon2id noch nicht zertifiziert ist.

Für alles andere gewinnt Argon2id. Diese App verwendet Argon2id standardmäßig.