<div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 17 Feb 2019 at 11:34, Marc Weustink via dovecot <<a href="mailto:dovecot@dovecot.org">dovecot@dovecot.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Jean-Daniel Dupas via dovecot wrote:<br>
> <br>
> <br>
>> Le 13 févr. 2019 à 14:54, Robert Moskowitz via dovecot <br>
>> <<a href="mailto:dovecot@dovecot.org" target="_blank">dovecot@dovecot.org</a> <mailto:<a href="mailto:dovecot@dovecot.org" target="_blank">dovecot@dovecot.org</a>>> a écrit :<br>
>><br>
>><br>
>><br>
>> On 2/13/19 8:30 AM, Aki Tuomi wrote:<br>
>>> On 13.2.2019 15.18, Robert Moskowitz via dovecot wrote:<br>
>>>><br>
>>>> On 2/13/19 1:23 AM, Matthias Fechner via dovecot wrote:<br>
>>>>><br>
>>>>> Am 13. Februar 2019 00:34:15 schrieb Robert Moskowitz<br>
>>>>> <<a href="mailto:rgm@htt-consult.com" target="_blank">rgm@htt-consult.com</a> <mailto:<a href="mailto:rgm@htt-consult.com" target="_blank">rgm@htt-consult.com</a>>>:<br>
>>>>><br>
>>>>>> On 2/12/19 6:03 PM, Matthias Fechner via dovecot wrote:<br>
>>>>>>> Am 12.02.2019 um 17:05 schrieb Robert Moskowitz via dovecot:<br>
>>>>>>>> I have trying to find how to set the dovecot-sql.conf for using<br>
>>>>>>>> SHA256/512.  I am going to start clean with the stronger format, not<br>
>>>>>>>> migrate from the old MD5.  It seems all I need is:<br>
>>>>>>> you maybe would like to have a look to the hashing algo ARGON2I<br>
>>>>>>> which is<br>
>>>>>>> currently recommended for new developments and deployments.<br>
>>>>>> Recommended by whom?<br>
>>>>>><br>
>>>>>> Can you provide a link?<br>
>>>>> Sure, please see here:<br>
>>>>> <a href="https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet" rel="noreferrer" target="_blank">https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet</a><br>
>>>>><br>
>>>>>><br>
>>>>>> And if I was adventurous about hashes, I would be looking more at<br>
>>>>>> Keccak.<br>
>>>>>><br>
>>>>>><br>
>>>>>> Check out my Internet Draft:<br>
>>>>>><br>
>>>>>><br>
>>>>>> draft-moskowitz-small-crypto-00.txt<br>
>>>>> Thanks for the tip, will have a look for into it.<br>
>>>> Keccak is a general hashing function.  It was the first? of the<br>
>>>> hashing 'sponge' functions, that many have followed.  It is the basis<br>
>>>> of SHA3 (at Keccak's greatest strength).<br>
>>>><br>
>>>> Argon2 seems to be special-built for password hashing.  Thing is it is<br>
>>>> not supported on my CentOS7 system:<br>
>>>><br>
>>>> # doveadm pw -l<br>
>>>> MD5 MD5-CRYPT SHA SHA1 SHA256 SHA512 SMD5 SSHA SSHA256 SSHA512 PLAIN<br>
>>>> CLEAR CLEARTEXT PLAIN-TRUNC CRAM-MD5 SCRAM-SHA-1 HMAC-MD5 DIGEST-MD5<br>
>>>> PLAIN-MD4 PLAIN-MD5 LDAP-MD5 LANMAN NTLM OTP SKEY RPA PBKDF2 CRYPT<br>
>>>> SHA256-CRYPT SHA512-CRYPT<br>
>>>><br>
>>>> Of course SHA3 is not listed either...<br>
>>>><br>
>>>><br>
>>> ARGON2 support is added in dovecot v2.3. It also needs to be enabled<br>
>>> when compiling dovecot, so varying from packagers it might or not be<br>
>>> available. The CRYPT ones are available if crypt(3) supports them. In<br>
>>> dovecot v2.3 we have added bcrypt support regardless of crypt(3) support.<br>
>><br>
>> CentOS7 is on dovecot 2.2.36:<br>
>><br>
>> # doveadm pw -s ARGON2-CRYPT -p secret<br>
>> Fatal: Unknown scheme: ARGON2-CRYPT<br>
>> # doveadm pw -s ARGON2 -p secret<br>
>> Fatal: Unknown scheme: ARGON2<br>
>><br>
>> I tend to stay with the distro's rpms and not take on building and <br>
>> maintaining myself.<br>
> <br>
> And for the record, the hash names are ARGON2I and ARGON2ID (see doveadm <br>
> pw -l )<br>
> <br>
> With dovecot from the <a href="http://dovecot.org" rel="noreferrer" target="_blank">dovecot.org</a> <<a href="http://dovecot.org" rel="noreferrer" target="_blank">http://dovecot.org</a>> repo:<br>
> <br>
> # doveadm pw -s ARGON2I -p secret<br>
> {ARGON2I}$argon2i$v=19$m=32768,t=4,p=1$bt96TSr3nVrho2SRhnNP0A$h7LYiqkw/4s6d1d+0Xpe+VUE3aISPnkYq/R7QqPRntk<br>
<br>
Also from <a href="http://dovecot.org" rel="noreferrer" target="_blank">dovecot.org</a> <<a href="http://dovecot.org" rel="noreferrer" target="_blank">http://dovecot.org</a>> repo:<br>
<br>
doveadm pw -s ARGON2I -p secret<br>
Fatal: Unknown scheme: ARGON2I<br>
<br>
????<br>
<br>
Marc<br>
</blockquote></div><div><br></div><div>It works for me over here:</div><div><br></div><div>[wash@waridi ~]#/opt/dovecot2.3/bin/doveadm pw -s ARGON2I -p secret</div><div>{ARGON2I}$argon2i$v=19$m=32768,t=4,p=1$9pggnQBea9F3h3O31HoJEA$0zZZgwEuMRVZ3Mc/v6ckpalzVRVCr+GLBWnb8OrgsxU</div><div><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">", </span><span style="font-size:12.8px">grep ^[^#] :-)</span></div></div></div></div></div></div></div>