Un token de Fernet tiene el siguiente formato:
Version ‖ Timestamp ‖ IV ‖ Ciphertext ‖ HMAC
Como se muestra arriba, la marca de tiempo no forma parte del texto cifrado, por lo que cualquiera puede leer la hora en que se creó el token. En un flujo de datos en vivo, esto puede no ser un problema, pero para el token almacenado en el disco, un atacante puede usar el tiempo de creación para ayudar al craqueo. ¿Debería estar encriptada la marca de tiempo?
Conocer el timestamp ayudaría a un atacante solo si afecta a alguna de las otras partes del token. Si su IV depende de timestamp , entonces ya ha fallado. Obtener la entropía de IV de algo que no depende del momento en que se creó es la mejor manera de resolver esto.
En un nivel superior, saber el tiempo de creación de un token podría ayudar al atacante a elegir el token que desea. Digamos que el atacante sabe con cierta precisión el momento de creación del token que desea, luego puede descartar los que no son interesantes solo con mirar el timestamp . Si el IV y el cifrado utilizado son sólidos, esta ventaja es insignificante.
Lea otras preguntas en las etiquetas cryptography encryption aes timestamp