Извините, если это дубликат, но я не смог найти ничего, что каким-то образом не связано с шифрованием DB. Моя проблема связана не с БД. У меня есть набор файлов, зашифрованных с помощью RijndaelManaged
. В коде шифрования я использую Rfc2898DeriveBytes
, чтобы сгенерировать ключ с паролем и солью и определенное количество итераций. Соль, как это бывает, не хранится надежно (просто строка).Знает ли соль, используемую в Rfc2898DeriveBytes, риск для безопасности?
Мне было интересно: люди, имеющие доступ к моему коду, могли легко получить соль (например, дизассемблировать dll) и, конечно, количество итераций.
Что представляет собой риск для безопасности этого, учитывая, что пароль сам по себе не так легко извлекается (да, давайте дадим это как должное сейчас)?
Я предполагаю, что без дешифрования пароля было бы невозможно, или, по крайней мере, потребуется некоторое время для грубой силы ... или это может быть некоторый анализ расшифрованных файлов?
Очевидной проблемой является то, что украденные коды менее легко обнаружить, чем украденной БД ...
Это полностью зависит от того, сколько энтропии пароля имеет. «Соль ... не нужно хранить в секрете» - RFC 2898. –
Соль должна быть разной для каждого файла. – mikey
Спасибо за комментарии, они указали мне в правильном направлении (переписывая код в конце). Я думаю, что этот вопрос лучше подходит для сайта безопасности stackexchange ... может ли кто-нибудь его перенести? – Tallmaris