¿Por qué está mal cifrado con contraseñas simples como clave de cifrado?

Se debe hacer una distinción entre la contraseña que proporciona una herramienta de cifrado y la clave interna que realmente usa.

No hay nada intrínsecamente incorrecto en el uso de una contraseña de texto sin formato, siempre que sea lo suficientemente largo como para que no se pueda adivinar dentro de un período de tiempo electrónico razonable . El nivel de indiscutibilidad generalmente se considera el nivel de entropía en el conjunto de datos; aunque incluso las pruebas estadísticas muy sofisticadas solo pueden hacer conjeturas informadas acerca de la indecisión real (por ejemplo, una cadena verdaderamente aleatoria es totalmente adivinable si todos en el mundo lo han memorizado).

La mayoría de los algoritmos de cifrado requieren una cantidad fija de entropía interna para funcionar. Su contraseña contendrá una cierta cantidad de entropía, generalmente menos que los usos de cifrado. Por lo tanto, su contraseña generalmente se convierte en sus bits entrópicos puros que luego se "estiran" a través del espacio de clave interna de una manera apropiada para el cifrado.

El estiramiento (o reducción) también es necesario para asegurar que similitud semántica a través de, digamos, las contraseñas en lenguaje natural, no No deformar el rango posible de salida de texto cifrado. No desea que las contraseñas de los lenguajes naturales (es decir, la mayoría de las contraseñas) produzcan solo texto cifrado de fracción predecible de todas las salidas posibles; como podría inferir el tipo e incluso la longitud de la contraseña utilizada.

Como usuario final de cualquier herramienta de cifrado competente, no debe preocuparse por esto, ya que ocurre detrás de la escena. Pero deberá saber si está usando estas bibliotecas directamente.