使用Crypto++进行恒定时间密码摘要比较

我正在编写一个程序，该程序使用cryptopp使用pbkdf2方法对密码进行散列。

您链接到Crypto++主页，而不是PBKDF的特定用途。这里有一些代码以防万一(它使用了RFC 6070中的IETF测试向量)：

int main(int argc, char* argv[])
{
byte password[] ="password";
size_t plen = strlen((const char*)password);
byte salt[] = "salt";
size_t slen = strlen((const char*)salt);
int c = 1;
byte derived[20];
PKCS5_PBKDF2_HMAC<CryptoPP::SHA1> pbkdf2;
pbkdf2.DeriveKey(derived, sizeof(derived), 0, password, plen, salt, slen, c);
string result;
HexEncoder encoder(new StringSink(result));
encoder.Put(derived, sizeof(derived));
encoder.MessageEnd();
cout << "Derived: " << result << endl;
return 0;
}

我曾尝试在"长度常数"时间内比较输出，但总是失败并返回false。

Crypto++内置了一个常量时间比较。请从misc.h使用VerifyBufsEqual。源在misc.cpp中可用。

$ cd cryptopp
$ grep -R VerifyBufsEqual *
cryptlib.cpp:   return VerifyBufsEqual(digest, digestIn, digestLength);
default.cpp:    if (!VerifyBufsEqual(check, check+BLOCKSIZE, BLOCKSIZE))
fipstest.cpp:   if (!VerifyBufsEqual(expectedModuleMac, actualMac, macSize))
fipstest.cpp:   if (VerifyBufsEqual(expectedModuleMac, actualMac, macSize))
misc.cpp:bool VerifyBufsEqual(const byte *buf, const byte *mask, size_t count)
misc.h:CRYPTOPP_DLL bool CRYPTOPP_API VerifyBufsEqual(const byte *buf1, const byte *buf2, size_t count);
pssr.cpp:   valid = VerifyBufsEqual(representative + representativeByteLength - u, hashIdentifier.first, hashIdentifier.second) && valid;
pubkey.cpp: return VerifyBufsEqual(representative, computedRepresentative, computedRepresentative.size());
secblock.h:     return m_size == t.m_size && VerifyBufsEqual(m_ptr, t.m_ptr, m_size*sizeof(T));

我不清楚的是：VerifyBufsEqual基于相等长度的缓冲区。我不确定是否可以忽略"长度不相等"的情况。

关于信息堆栈交换还有一个可能相关的问题：密码哈希的定时攻击。但我不确定它是否/如何推广到任意缓冲区比较。

这个问题激发了我对一般问题的兴趣(这个问题一直存在)：当数组大小不相等时，常数时间比较？。这应该告诉我们在VerifyBufsEqual(Crypto++)、CRYPTO_memcmp(OpenSSL)等中是否有合适的工具。