Dove memorizzare IV e sale quando si esegue la crittografia clientide senza server

3

Sto creando un'app di Chrome che esegue la crittografia lato client dei messaggi degli utenti. Non c'è un server nella mia architettura. I messaggi di testo crittografati vengono salvati come file nel Google Drive dell'utente. Sto usando la libreria javascript di forge per crittografare i messaggi. Voglio che la password dell'utente venga utilizzata per la crittografia e la decrittografia, senza salvarla da nessuna parte.

Attualmente ho il sale e IV codificati nel codice javascript. Ma questo significa che è disponibile a chiunque installi l'app di Chrome. È meglio generare un IV casuale e salt per ogni messaggio e salvarlo nel Google Drive dell'utente insieme ai messaggi crittografati? O è abbastanza buono da averlo codificato come js globale? C'è un modo più sicuro per farlo?

    
posta syonip 01.01.2016 - 01:31
fonte

1 risposta

2

In ogni protocollo che ho visto, l'IV e / o il sale non sono considerati segreti e sono memorizzati con il testo cifrato. Di solito è importante usare un IV / sale unico per ogni messaggio, comunque. (Spesso non è necessario che siano imprevedibili, ma solo non riutilizzati). Tuttavia, i requisiti di ciascuna modalità potrebbero essere leggermente diversi.

    
risposta data 01.01.2016 - 09:37
fonte

Leggi altre domande sui tag