Supponiamo che un utente malintenzionato conosca il contenuto crittografato, il contenuto decrittografato e l'algoritmo utilizzato: può ottenere la chiave utilizzata per crittografare il contenuto o semplifica la ricerca della chiave?
Penso che questo possa variare tra la crittografia simmetrica e asimmetrica e tra diversi algoritmi. Quindi quanto è sicuro questo scenario con algoritmi diversi se l'unica cosa che devo tenere segreta è la chiave?
Modifica
Chiedo questa domanda perché ho appena letto le FAQ di SpiderOak e, per quanto ho capito, non memorizzano né la password di un utente né la chiave di crittografia che viene deriver dalla password dell'utente. Tuttavia, devono assicurarsi che la password dell'utente sia quella giusta quando accede alla pagina Web.
Se non memorizzano la password e non memorizzano la chiave, l'unica possibilità di controllare se la password è corretta è quella di decodificare alcuni dati crittografati noti e verificare se il risultato è quello giusto.
es. al momento della registrazione potrebbero crittografare i dati CHECK
e al momento del login potrebbero derivare una chiave dalla password inserita e decrittografare CHECK
crittografato e vedere se è CHECK
. In caso contrario, la chiave non era giusta, e quindi la password non era neanche.
C'è un altro modo in cui potrebbero farlo?