Sto usando lo standard PKCS # 5 per generare una chiave usando un salt casuale e unico e la password dell'utente in input. Considerare questa chiave come la chiave "crittografia".
La chiave "crittografia" viene utilizzata per crittografare una chiave AES casuale. Ogni utente ha una chiave AES associata al proprio profilo.
Quindi, il profilo di un utente conterrà queste informazioni:
- hash della password per scopi di autenticazione.
- sale usato nell'algoritmo PKCS # 5. (Dalla documentazione PKCS # 5 V2.0, sappiamo che questa informazione non ha bisogno di protezione).
- la chiave crittografata AES generata in modo casuale e crittografata con la chiave "crittografia" generata da PKCS # 5 è algo con la password di sale e dell'utente.
Mi stavo chiedendo se è pericoloso essere in possesso dell'hash della password, del tasto AES e della chiave crittografata ALLO STESSO TEMPO. Sono sicuro al 99,9% che questo non sia un problema, ma può facilitare il lavoro di un utente malintenzionato che è in possesso di tutti quei dettagli?