私は決してセキュリティを期待しているわけではなく、次のシナリオに関するヘルプ/ポインターが必要です。明確にするために、この質問は銀行の詳細よりも暗号化に関するものです。
トークン化のために支払いプロバイダーに送信できるように、英国の口座振替の詳細を安全な方法で保存する必要があります。現時点では、RijndaelManagedを 256 ビット キーと、各情報 (アカウント名、アカウント番号、およびソート コード) ごとに一意の IV で使用しています。キーはこの情報とともに保存されません。
私が持っている質問は、ソート コードを例にとると、英国の銀行のソート コードは数字だけで構成され、長さはわずか 6 桁であることがわかっているということです。したがって、存在するそれらのセットは非常に小さいため、辞書にはすべてを簡単に含めることができます。
この情報を保存しているデータベースが侵害されてダンプされた場合、IV が暗号化された各ソート コードと一緒に保存されていることを考えると、情報を解読するのはどれほど簡単でしょうか。 ?
さらに、攻撃者にとって唯一の「未知」が秘密鍵である場合、たとえば、攻撃者が特定のソート コードをすでに知っている場合、秘密鍵を確認できますか? かなりの数の計算をしなければそれができるとは思えませんが、よくわかりません...
ソートコードにランダムな文字を埋め込むと、この情報の解読が難しくなると考えていましたが、このパディングもどこかに保存する必要があります。