aplicación de cifrado que establece la contraseña

Blowfish ... me siento más joven. Este es un algoritmo de hace más de 15 años, que no es malo en sí mismo, pero el autor de Blowfish (Bruce Schneier) propuso una versión mejorada llamada Twofish , en 1998, para el concurso AES. Que el producto pretende ser "la mejor solución de base de datos" pero que descuida los últimos 15 años de ciencia y tecnología, incluidos los AES , no es una buena señal.

Si usar la misma contraseña para archivos distintos produce el mismo "identificador", pero una contraseña diferente produce un identificador diferente, entonces este "identificador" se puede usar para atacar la contraseña con costos compartidos; en otras palabras, un < a href="http://en.wikipedia.org/wiki/Rainbow_table"> tabla de arco iris . Un atacante podría pasar por el gasto de construir la tabla una vez, porque luego podría aplicarla a cada instancia de un archivo proveniente de ese producto. Esto no es una mala señal, es una señal peor.

Nada de esto significa que la contraseña podría extraerse de forma trivial de los archivos (tampoco excluye esta posibilidad), pero es suficiente para recomendar no usar este producto.

Parece que este "hexidentificador" es un simple hash de la contraseña, y es al menos una debilidad que pueda determinar si diferentes archivos se cifraron con la misma contraseña. Eso no es necesariamente fatal. La mayoría de los esquemas de encriptación incluyen una "sal" que es efectivamente parte de la contraseña, para evitar que se genere el mismo archivo. Eso también es una debilidad.

En general, los sistemas de encriptación ad hoc desarrollados por aficionados con buenas intenciones (como yo) están plagados de este tipo de debilidades sistémicas. Reclamar "1zillion bit blowfish" está soplando humo. Por otro lado, a menos que esté almacenando secretos nacionales, sus datos cifrados nunca estarán sujetos al tipo de ataque profesional que podría explotar estas debilidades.