Si estoy usando PBKDF2 para estirar una contraseña y convertirla en una clave adecuada para usar en el cifrado con AES, ¿debería usar una sal aleatoria (para PBKDF2, no el AES IV)?
Si estoy usando PBKDF2 para estirar una contraseña y convertirla en una clave adecuada para usar en el cifrado con AES, ¿debería usar una sal aleatoria (para PBKDF2, no el AES IV)?
¡Absolutamente! Incluso está ahí, en PKCS # 5 v2.0
Una sal en la criptografía basada en contraseña tradicionalmente ha servido para propósito de producir un gran conjunto de claves correspondientes a un determinado contraseña, entre las cuales una se selecciona al azar de acuerdo con la sal.
Al usar un salt seguro, la contraseña p1 = tomato no producirá la misma clave que p2 = tomato aunque sean la misma contraseña. Esto tiene dos beneficios:
Debe hacer esto , ya que de lo contrario dos usuarios que usen la misma contraseña dos veces generarán la misma clave. El esfuerzo de usar una sal es casi nulo, pero aumenta tu seguridad.
Por favor, absténgase de hacer rodar el suyo, hay un estándar y debe usarlo.
Es saludable cuestionar los "porqués" desde una perspectiva de aprendizaje, pero jugar con criptografía y tratar de cortar esquinas puede ser peligroso si no eres un criptógrafo experimentado.