Me gustaría cifrar algunos datos privados de cada usuario y me preguntaba si podría usar el mismo secreto como frase de contraseña para una clave privada RSA y como contraseña para la autenticación. ¿Qué tan seguro es el uso de una clave privada RSA encriptada en comparación con el hashing de contraseñas de blowfish?
Esto no es seguro. Si almacena la clave, habilitará a cualquier persona con acceso a la base de datos para que pueda descifrar los datos del usuario.
No debes almacenar la clave privada. En su lugar, genérelo a pedido utilizando la contraseña + sal cuando sea necesario. Si no es posible ingresar la contraseña cada vez que se requiere el cifrado / descifrado para su caso de uso, entonces guárdelo en la memoria y bórrelo cuando el usuario cierre la sesión.
RSA es lento y asimétrico. También (como lo señaló A. Hersean) no juega bien con algoritmos de derivación clave. Le sugeriría que probablemente debería usar un algoritmo simétrico como AES para cifrar los datos de usuario.
Lea otras preguntas en las etiquetas passwords passphrase