Гораздо более вероятно, что кто-то будет грубо насиловать или придумывать пароль в социальной сети, чем взломать даже зашифрованный поток, поскольку пароль обычно имеет меньшее битовое пространство, чем ключ.Все, что шифруется несколько раз, - это увеличивает время или усилия, необходимые для взлома пароля, на O (n) (вы действительно хотите, чтобы сложность увеличивалась на O (n ^ 2) или более).
Но если выВам нужно супер-безопасное шифрование, не катите свою собственную стратегию, выберите стандарт DOD (или эквивалентный) и реализуйте его.
Чтобы объяснить более подробно, AES - блочный шифр с тремя различными длинами ключей.Первая часть стратегии - это определение длины ключа, которую вы хотите использовать.Вы можете выбрать один наугад или самый большой, но вы действительно хотите выбрать лучший вариант для вашей ситуации.Далее идет фактическое использование AES.Поскольку это блочный шифр, он будет кодировать идентичный открытый текст в идентичный зашифрованный текст, поэтому вы захотите использовать вектор инициализации, соль и другие подобные методы, чтобы гарантировать, что открытый текст станет другим зашифрованным текстом.
Тогда вот как вы извлекаете ключ из пароля, который может быть слабым.Если вы генерируете ключ каждый раз, возможно, вы случайно сузили пространство клавиш и ослабили его.Вы также должны принять во внимание генератор случайных чисел, который использовался, поскольку он может производить предсказуемые значения.Если вы используете пароль, чтобы каким-либо образом разблокировать хранилище ключей, ваши данные будут защищены так же, как и хранилище ключей.Если вы извлекаете ключ удаленно только после успешного получения пароля, вы предотвратите атаки данных в автономном режиме и сможете активно обнаруживать атаки методом перебора.
Наконец, есть аспект самого пароля, безусловно, самое слабое место вашей стратегии шифрования.Не имеет значения, сколько шифров вы используете, если пользователь выберет слабый пароль.Вот почему, даже если вы шифруете данные только одним 128-битным шифрованием AES, более вероятно, что злоумышленник попытается взломать пароль, чем попытаться взломать шифрование.
Выбор набора стратегий, которые былиПроверенный будет вам полезнее, чем придумывать свой, если только вы не планируете потратить необходимые деньги на тестирование на проникновение и аудит безопасности.
Для интереса прочитайте, как TrueCrypt делает это .