Jak bezpieczne jest javax.crypto.Cipher?

Question

Wiem wystarczająco dużo o kryptologii, aby utrudnić życie początkującemu programiście i zostać roześmianymi przez ekspertów od bezpieczeństwa. Biorąc to pod uwagę, pytam: jak bezpieczny jest javax.crypto.Cipher? Zdaję sobie sprawę, że wszystko może być złamane przez kogoś z wolą i sposobem, ale nadal chciałbym poznać względne szczegóły.

Powodem, dla którego pytam, jest chęć zapisania nazw kont i haseł, które zostaną wysłane przez moją klasę Cryptor, która je encrpytuje, i chciałbym się dowiedzieć, czy to się spełni. Jeśli ktokolwiek ma jakąkolwiek literaturę, którą mógłbym przeczytać, byłby bardzo doceniany.

Dzięki ~ aedon

Answer 1

Jeśli masz zamiar bezpiecznie przechowywać hasła, to Twoje wymagania różnią się od zwykłych "komunikowania się bezpiecznie/prywatnie". A Cipher samo w sobie nie wystarcza, aby cię chronić. Należy użyć jednego z tych

• bcrypt
• scrypt
• PBKDF2 from PKCS#5

w tej sytuacji. Here to niektóre argumenty i linki dotyczące bezpieczeństwa haseł.

Punchlina jest taka, że ​​"normalne" szyfrowanie (lub mieszanie) również jest zbyt szybkie, aby powstrzymać poważnych napastników. Chcesz sztucznie spowolnić cały proces, aby był jak najtrudniejszy dla kogoś systematycznie atakującego twoją aplikację. Pojedynczy użytkownik nie zauważy różnicy między 1 a 500 milisekund podczas wpisywania hasła, ale dla atakującego oznacza to, że w celu złamania schematu będzie to średnio 500 razy dłuższa niż przeciętnie - tak więc, gdyby zajęło to mniej więcej 1 miesiąc, aby znaleźć prawidłowe hasło przed, teraz zajmie to 500 miesięcy.

Answer 2

Od NullCipher jest Cipher - nie zabezpieczyć w ogóle.

Answer 3

Szyfr jest klasą ogólną stosującą algorytm szyfrowania/odszyfrowywania. Jego bezpieczeństwo zależy od rzeczywistego algorytmu szyfrowania (DES, potrójny DES, AES itd.), Rozmiaru klucza i wybranego rodzaju łączenia bloków.