Entiendo que PCI DSS 3.0 permite que los hashes de los números de tarjeta se almacenen por separado de los valores cifrados, pero me sorprende la eficiencia de herramientas como el hashcat para descubrir números de tarjeta a partir de datos hash dada la entropía limitada.
Debido a que, para fines de búsqueda, una sal aleatoria no es una opción (ya que a menudo solo tienes el número de tarjeta para realizar la búsqueda), entonces cualquier sal debería ser estática para buscar el hash.
Leí una sugerencia que decía,
Una clave secreta se puede usar efectivamente como un valor de sal, aunque esto elimina algunas de las razones para el hashing en primer lugar y requiere la misma administración de claves que el cifrado. enlace
Mi pregunta es, si estoy usando una "clave secreta" para una sal, que está sujeta a descubrimiento y fuerza bruta (aunque su longitud podría hacer que esto último sea poco práctico), ¿por qué no simplemente cifrar el valor con AES256? ¿Las búsquedas a través del valor cifrado?
¿Existe alguna ventaja de seguridad para el hashing con una "sal secreta pero uniforme", en comparación con el cifrado determinista?