Насколько безопасен javax.crypto.Cipher?

Question

Я знаю достаточно о криптологии, чтобы усложнить жизнь начинающему программисту и посмеяться над экспертами по безопасности.Имея это в виду, я спрашиваю: насколько безопасна javax.crypto.Cipher?Я понимаю, что что-то может быть взломано кем-то, у кого есть желание и способ, но я все же хотел бы знать относительные детали.

Причина, по которой я спрашиваю, заключается в том, что я хотел бы хранить имена учетных записей и пароли, которые будут отправленычерез мой Cryptor класс, который будет их шифровать, и хотел бы знать, справится ли это с работой.Если бы у кого-нибудь была литература, которую я мог бы прочитать, это было бы очень признательно.

Спасибо ~ Aedon

Answer 1

Cipher - это универсальный класс для применения алгоритма шифрования / дешифрования.Его безопасность зависит от используемого алгоритма шифрования (DES, triple-DES, AES и т. Д.), Размера его ключа и выбранного вами типа цепочки блоков.

Answer 2

Если вы намереваетесь безопасно хранить пароли, тогда ваши требования сильно отличаются от простого «безопасного / конфиденциального общения».А Cipher само по себе недостаточно, чтобы защитить вас.Вам необходимо использовать один из этих

• bcrypt
• scrypt
• PBKDF2 от PKCS # 5

в этих обстоятельствах. Здесь - некоторые аргументы и ссылки, касающиеся безопасности пароля.

Изюминка в том, что «обычное» шифрование (или хеширование тоже) слишком быстрое, чтобы сдерживать серьезных злоумышленников.Вы хотите искусственно замедлить весь процесс, чтобы сделать его как можно более сложным, чтобы кто-то систематически атаковал ваше приложение.Один пользователь не заметит разницу между 1 или 500 миллисекундами при вводе пароля, но для злоумышленника это означает, что для взлома вашей схемы им потребуется в среднем в 500 раз больше времени - так, если бы это заняло примерно1 месяц, чтобы найти действительный пароль раньше, теперь это займет 500 месяцев.

Answer 3

Поскольку NullCipher - это Шифр ​​ - совсем не защищен.