Quanto è sicuro la crittografia e la decrittografia delle stringhe con OpenSSL? [chiuso]

Naviga le tue risposte
0

Mi chiedo quanto sia sicuro crittografare e decifrare le stringhe usando OpenSSL usando Sali e un vettore di inizializzazione. Se il vettore di inizializzazione e di sale verranno entrambi memorizzati in un database insieme alla stringa crittografata, un possibile attaccante non può prendere semplicemente la stringa crittografata, sale e IV e decrittografare la stringa? Se questo è possibile, come sarebbe reso più sicuro, quindi non è possibile? Il principale caso d'uso per questo è di essere in grado di crittografare & decrittografare i dati utente da visualizzare all'utente.

    
posta Oliver Leach 02.08.2017 - 21:49
fonte

2 risposte

1

Penso che stai mescolando più cose insieme qui:

  • OpenSSL è una libreria che ha implementazioni per una varietà di algoritmi crittografici, sia per algoritmi forti che per algoritmi deboli. Pertanto, la sicurezza dipende prima da quale algoritmo si utilizza.
  • Stai tentando di utilizzare la crittografia simmetrica in cui è necessaria la stessa chiave per la crittografia e la decrittografia. Certo, questa chiave deve essere protetta contro un avversario. Ma come viene fatto questo non fa parte dell'algoritmo di crittografia e neanche parte di OpenSSL.
  • Per la crittografia hai bisogno di una chiave, non di un sale. Salt invece viene utilizzato nel contesto dell'hash delle password. Inoltre, l'IV non è necessario per decodificare il testo crittografato, quindi non è necessario memorizzarlo esplicitamente.

Ovviamente l'archiviazione della chiave di decrittografia insieme ai dati crittografati non ha senso perché se un utente malintenzionato ottiene l'accesso ad entrambi può semplicemente decodificare i dati.
Tuttavia, il modo in cui questa chiave segreta deve essere protetta completamente dipende dal caso d'uso sconosciuto, dal valore dei dati e dalle capacità ipotizzate dell'avversario.

    
risposta data 02.08.2017 - 21:58
fonte
0

I sali sono per le password di hashing, non per la crittografia. Per crittografare o decifrare utilizzando la maggior parte delle modalità di crittografia è necessario la chiave e il IV.

Penso che dovresti fornire maggiori informazioni su ciò che stai cercando di realizzare, se stai cercando di memorizzare le password che ho letto attraverso questa risposta.

    
risposta data 02.08.2017 - 22:03
fonte

Leggi altre domande sui tag

La modalità aggressiva IKE è davvero meno sicura della modalità principale? Ho la password "data / hash", dopo cosa?