0

これが重複している場合は申し訳ありませんが、DB 暗号化に関係のないものは見つかりませんでした。私の問題はDBではありません。を使用して暗号化された一連のファイルがありますRijndaelManaged。暗号化コードではRfc2898DeriveBytes、パスワードとソルト、および特定の反復回数を指定してキーを生成するために使用しています。たまたま、ソルトは安全に保管されていません (単なる文字列)。

私は疑問に思っていました: 私のコードにアクセスできる人は簡単にソルト (たとえば dll を逆アセンブル) ともちろん反復回数を取得できます。

パスワード自体がそれほど簡単に取得できないことを考えると、これにはどのようなセキュリティ上のリスクがありますか?

パスワードなしで復号化することは不可能であるか、少なくともブルートフォースに時間がかかると思います...または、復号化されたファイルの分析は可能ですか?

明らかな懸念は、盗まれたコードは、盗まれた DB よりも簡単に検出できないことです...

4

1 に答える 1

0

つまり、salt は平文で保存しても問題ありません。ただし、ファイル内のパスワードごとに一意のソルトを保存する必要があります (これを参照してください)。そうすれば、ファイルに保存されているすべてのパスワードに対してレインボー テーブルを作成することはできません(ファイル内の 1 つのパスワードに対してレインボー テーブルを作成できることに注意してください)。

ハッシュ化/パスワード保存プロセス全体の詳細については、次を参照してください。

ハッシング

于 2013-05-29T00:57:42.007 に答える