Argon2id vs PBKDF2 — comparaison rapide

Les deux sont des fonctions de dérivation de clé (KDF). Les deux transforment une passphrase en clé de chiffrement. La différence réside dans l'endroit où elles dépensent le budget de l'attaquant.

Côte à côte

• Année de standardisation : PBKDF2 — 2000. Argon2id — 2015, RFC 9106 en 2021.
• Dimension de coût : PBKDF2 — temps CPU uniquement. Argon2id — temps CPU et RAM (résistant en mémoire).
• Accélération GPU/ASIC vs CPU : PBKDF2 — 100×–1000×. Argon2id — proche de 1×.
• Support bibliothèque standard : PBKDF2 — universel. Argon2id — courant mais non universel.
• Standard OpenPGP : PBKDF2 — oui (S2K). Argon2id — oui, depuis RFC 9580 en 2024.
• Utilisation recommandée : PBKDF2 — héritage. Argon2id — tout ce qui est nouveau.

Les deux aux paramètres par défaut

PBKDF2-HMAC-SHA256 avec 600 000 itérations : ~250 ms sur CPU ; ~500 ns par essai sur GPU.

Argon2id avec m=65536 KiB, t=3, p=1 : ~250 ms sur CPU ; ~10 ms par essai sur GPU.

Même coût pour le défenseur. Coût attaquant multiplié par 5 000 000. C'est la seule raison de changer.

Quand garder PBKDF2 malgré tout

• Lecture de ciphertext hérité chiffré avec PBKDF2.
• Ciblage d'environnements sans WASM.
• Déploiements FIPS-140-3 existants où Argon2id n'est pas encore certifié.

Pour tout le reste, Argon2id gagne. Cette application utilise Argon2id par défaut.