Hola,
Encontré por la web una librería javascript CryptoJS y quiero emplearla en un proyecto pero como no se muchas cosas de criptografia por esto pongo aquí mis dudas.
Hice pruebas y pude cifrar en el cliente con CryptoJS AES256 y escogiendo una passphrase la libreria genera IV y salt aleatorio.
La passphrase no se envia por la red sino via SMS
Pero el mensaje cifrado (chipertext) el IV y el salt debo enviarlos por la red ( con https ) para poder desencriptarlo al otro lado.
Mi primera duda es la siguente:
¿compromete mucho la seguridad si un supuesto atacante ( aunque sea por https) accede al IV y al salt sin tener (teroricamente al menos) acceso a la passphrase que va por otra via ?
La segunda duda:
¿Una passphrase de aproximadamente 100 caracteres sera razonablemente fuerte ?
Gracias
P.D
Estoy consciente que no existe seguridad 100% ... solo busco que sea bastante fuerte
A no ser que no he entendido bien ... despues de investigar un poco mas sobre el asunto, dicen por ahi que el IV y la sal son publicos ... y que lo que tiene mas importancia es la aletoriedad de los mismos.
asi que mi primera duda cambiaria en:
¿como puedo probar la calidad de la dicha aletoriedad?
La libreria de la cual dije en el principio es esta :
https://github.com/brainfoolong/cryptojs-aes-php
MOD EDIT: No hacer doble post.
Encontré por la web una librería javascript CryptoJS y quiero emplearla en un proyecto pero como no se muchas cosas de criptografia por esto pongo aquí mis dudas.
Hice pruebas y pude cifrar en el cliente con CryptoJS AES256 y escogiendo una passphrase la libreria genera IV y salt aleatorio.
La passphrase no se envia por la red sino via SMS
Pero el mensaje cifrado (chipertext) el IV y el salt debo enviarlos por la red ( con https ) para poder desencriptarlo al otro lado.
Mi primera duda es la siguente:
¿compromete mucho la seguridad si un supuesto atacante ( aunque sea por https) accede al IV y al salt sin tener (teroricamente al menos) acceso a la passphrase que va por otra via ?
La segunda duda:
¿Una passphrase de aproximadamente 100 caracteres sera razonablemente fuerte ?
Gracias
P.D
Estoy consciente que no existe seguridad 100% ... solo busco que sea bastante fuerte
A no ser que no he entendido bien ... despues de investigar un poco mas sobre el asunto, dicen por ahi que el IV y la sal son publicos ... y que lo que tiene mas importancia es la aletoriedad de los mismos.
asi que mi primera duda cambiaria en:
¿como puedo probar la calidad de la dicha aletoriedad?
La libreria de la cual dije en el principio es esta :
https://github.com/brainfoolong/cryptojs-aes-php
MOD EDIT: No hacer doble post.
