Capisco che PCI DSS 3.0 consenta di archiviare gli hash dei numeri di serie separatamente dai valori crittografati, ma sono sorpreso dall'efficienza di strumenti come hashcat nella scoperta dei numeri delle carte dai dati hash data l'entropia limitata.
Poiché, a scopo di ricerca, un salt casuale non è un'opzione (poiché spesso si ha solo il numero cardnumber per effettuare la ricerca), quindi qualsiasi sale dovrebbe essere statico per cercare l'hash.
Ho letto un suggerimento che diceva,
A secret key can be effectively used as a salt value, albeit this defeats some of the reasons for hashing in the first place and requires the same key management as encryption. http://www.integrigy.com/files/Integrigy_Hashing_Credit_Card_Numbers_Unsafe_Practices.pdf
La mia domanda è, se sto usando una "chiave segreta" per un sale, che è soggetta a scoperta e forza bruta (anche se la sua lunghezza potrebbe rendere quest'ultima poco pratica), perché non criptare semplicemente il valore con AES256, e fare le ricerche tramite il valore crittografato?
C'è qualche vantaggio di sicurezza nell'hashing con un "segreto ma uniforme sale", rispetto alla crittografia deterministica?