¿Tengo que usar un IV al usar GPG con AES 256? ¿O GPG se encarga de eso por mí?
Me he dado cuenta de que obtengo resultados diferentes cada vez que ejecuto el cifrado, es decir,
gpg --symmetric --cipher-algo AES256 --armor test
¿Pero es esto lo suficientemente seguro sin una IV?
Lo referiré a La respuesta de Thomas Pornin a Will encriptando el mismo archivo con GPG y la misma clave producirá el mismo texto cifrado ? , que es (como siempre) realmente excelente.
Se reduce a: Sí, hay un IV aleatorio y un sal aleatorio adicional durante la contraseña para la transformación de clave.
El párrafo relevante es:
El tercer punto también se aplica cuando se realiza un cifrado basado en contraseña (el cifrado se realiza con una contraseña, no con una clave pública del destinatario). La encriptación basada en contraseña también agrega una cuarta asignación aleatoria, que es la sal en la transformación de contraseña a clave, 3.7.1.3 .
Número de sección agregado por mi a partir de su cotización, enlace actualizado.
El tercer punto es:
- Al realizar el cifrado simétrico en sí mismo, se utiliza un IV aleatorio, y será diferente (con una probabilidad abrumadora) para cada invocación. Consulte sección 5.7 para obtener más información.
Enlace actualizado de nuevo.