Supongamos que un atacante conoce el contenido cifrado, el contenido descifrado y el algoritmo utilizado: ¿puede obtener la clave que se utilizó para cifrar el contenido o facilita la búsqueda de la clave?
Creo que esto puede variar entre el cifrado simétrico y asimétrico y entre diferentes algoritmos. Entonces, ¿qué tan seguro es este escenario con diferentes algoritmos si lo único que necesito mantener en secreto es la clave?
EDIT:
Hago esta pregunta porque acabo de leer las preguntas frecuentes de SpiderOak y, en la medida en que entendí eso, no están almacenando la contraseña de un usuario ni la clave de cifrado que se deriva de la contraseña del usuario. Sin embargo, deben asegurarse de que la contraseña del usuario sea la correcta cuando inicie sesión en la página web.
Si no almacenan la contraseña y no almacenan la clave, la única posibilidad de verificar si la contraseña es correcta es descifrar algunos datos cifrados conocidos y verificar si el resultado es el correcto.
Por ejemplo, al registrarse, pueden cifrar los datos CHECK
y al iniciar sesión pueden obtener una clave de la contraseña ingresada y descifrar el CHECK
cifrado y ver si es CHECK
. Si no, la clave no era correcta y, por lo tanto, la contraseña tampoco.
¿Hay alguna otra manera de cómo podrían hacerlo?