Empiezo diciendo que soy bastante nuevo en el cifrado y soy bastante malo en encontrar debilidad en todo.
Dicho esto, me gustaría hablar sobre una gran duda que me gustaría aclarar antes de terminar haciendo algo mal en la práctica: una cosa que aprendí mientras estudiaba los métodos de cifrado de clave simétrica como aes es que las sales son un dios . Usted debe sal, sal y sal. Y entiendo que es realmente útil bloquear los ataques del diccionario del arco iris y eso es bueno. Sin embargo, de lo que obtuve, todos los ejemplos hablaban de casos en los que estás cifrando la contraseña de un usuario, que generalmente son palabras conocidas o similares.
Supongamos ahora un escenario avanzado: tengo un sistema de comunicación híbrido que utiliza un sistema de comunicación híbrido RSA (asimétrico) y aes (simétrico) entre clientes y un servidor donde:
-el servidor posee una clave privada RSA, los clientes poseen la parte pública
cuando un cliente quiere establecer una conexión, lo hace:
1-genera una aleatoria clave simétrica
2-cifralo con la clave RSA pública
3-enviarlo al servidor
4-el servidor lee la clave ciphred con la clave privada
5-ahora ambos sistemas tienen una clave simétrica que, por supuesto, será monouse , que nunca se había transmitido de forma simple, y puede comunicarse con la velocidad de aes
Entonces, la pregunta es: en un escenario como ese, ¿es realmente digno de agregar la clave simétrica aes antes de enviarla al servidor en el punto 3? Porque primero es aleatorio, segundo es monouse, tercero, que yo sepa, no hay forma de que un hacker pueda hacer mucho sin conocer la clave privada. Y de todos modos, la contraseña final que se envía es algo que, de todos modos, será un conjunto aleatorio de caracteres, al igual que la clave sin sal.
¿O hay un escenario en el que podría ser útil?