Thuật toán PBKDF2 (Password-based Key Derivation Function 2) SHA-256 được sử dụng để khởi tạo Khóa mã hóa từ Mật khẩu chính của người dùng. Mật khẩu chính sẽ được mã hóa, bằng một giá trị ngẫu nhiên là địa chỉ email của người dùng và kỹ thuật băm, một cách cục bộ trên máy của người dùng, trước khi gửi đến máy chủ Locker. Khi máy chủ Locker nhận được Mật khẩu chính đã mã hóa, mật khẩu đó sẽ được mã hóa một lần nữa với một giá trị ngẫu nhiên an toàn (khởi tạo từ Thuật toán sinh số ngẫu nhiên CSPRNG), cùng với kỹ thuật băm, và sau đó được lưu trữ trong cơ sở dữ liệu của Locker.

Số lần lặp mặc định được sử dụng với thuật toán PBKDF2 là 100.001 lần lặp trên máy người dùng, và sau đó là 216.000 lần lặp bổ sung khi được lưu trữ trên máy chủ của Locker (với tổng số 316.001 lần lặp theo mặc định).

Thuật toán PBKDF2 có 5 tham số đầu vào:

$key = PBKDF2(password, salt, iter\_count, hash\_func, key\_len)$

Trong đó:

• $password$ : mật khẩu chính của người dùng.

• $salt$ : cryptographic salt, ở đây Locker sử dụng email người dùng làm salt đầu tiên.

• $iter\_count$ : số vòng lặp.

• $hash\_func$ : thuật toán băm với đầu ra dài $h\_len$.

• $key\_len$ : độ dài mong muốn của key.

Khóa $K$ sẽ được chia làm các khối dài tối đa $h\_len$. Với mỗi khối ${KH}_i$,

1. Sử dụng hàm băm $iter\_count$ lần với đầu vào là $password$ và $salt$, với $salt$ đầu tiên là email người dùng, các $salt$ sau là đầu ra của lần băm trước:

$H_1=hash\_func(password, email)$

$H_2=hash\_func(password, H_1)$

$...$

$H_{iter\_count}=hash\_func(password, H_{iter\_count-1})$

2. Thực hiện phép $XOR$ với tất cả các đầu ra $H_i$ từ bước 1:

${KH}_i = H_1 ⊕H_2⊕...⊕H_{iter\_count}$.

3. Cuối cùng, tất cả các khối ${KH}_i$ nối lại với nhau sẽ cho ra khóa $K$:

$K = {KH}_1||{KH}_2||...||{KH}_{key\_len/h\_len}$