Si supiera las versiones claras y codificadas de una cadena, ¿podría encontrar la contraseña y / o iv que usaba para codificarla?
Codificación realizada con open_ssl aes-128-cbc.
No. Esto equivaldría a un ataque de texto simple conocido en AES.
Por lo general, el IV es conocido y codificado con el mensaje. No es secreto (es un IV , no una clave ).
Si el sistema de cifrado es bueno, no hay una forma (conocida) de recuperar la clave a partir del conocimiento de todo lo demás (texto plano, texto cifrado, IV) que sería más rápido que intentar todas las claves posibles hasta que se encuentre una coincidencia ( esto es búsqueda exhaustiva , conocida coloquialmente como fuerza bruta ). Si la clave es lo suficientemente grande (es decir, más de 80 bits aproximadamente), esto no es factible con la tecnología y la energía existentes (consulte esta respuesta para más detalles). Cada bit de clave adicional duplica el esfuerzo del atacante, por lo que una clave de 128 bits está muy lejos de ser atacable, incluso con la tecnología del mañana.
Esta propiedad se mantendrá (nuevamente, si el algoritmo es bueno) incluso si el atacante puede obtener miles de millones de pares de texto simple / texto cifrado, incluso si elige el texto simple ( ataque de texto simple elegido ) o incluso el texto cifrado ( ataque de texto cifrado elegido , es decir, ataque en un cuadro de descifrado).
Según nuestro conocimiento, AES es bueno y OpenSSL lo usa correctamente.
Lo que describas sería un ataque de texto llano conocido . Wikipedia afirma que
El Estándar de cifrado avanzado [no es] actualmente susceptible a ataques de texto plano conocido
(pero que algunos cifrados en bloque pueden verse afectados por ataques de texto sin formato elegidos ).
Lea otras preguntas en las etiquetas passwords cryptography encryption