On réfléchit à notre fonctionnalité d'import/export et au futur avec le multi-utilisateurs. Si la sécurité c'est votre truc, on a besoin de vous !

community.kresus.org/t/exports

@kresus Est-ce que la raison pour laquelle Kresus utilise ce sel est documenté quelquepart ?
Dans les usages traditionnels du sel, le sel est *inclus* avec le texte haché ( en.wikipedia.org/wiki/Salt_(cr ) et le nonce avec le texte chiffré (en.wikipedia.org/wiki/Cryptogr )

@bnjbvr Pouquoi ne pas simplement utiliser une fonction de dérivation de clé « normale » comme PBKDF2 par exemple ?
Ah ben c'est justement ce qui est fait 🙂
Du coups reste la question : pourquoi ne pas mettre le sel en clair en préfixe du message chiffré ?

@kmk c'était une contribution externe, j'en ai aucune idée :D
Donc le sel doit être unique, mais ensuite on peut l'inclure dans le message, sans avoir besoin de le cacher ?

@kmk @bnjbvr Dans le contexte d'un export de données (JSON mais peu importe) et non d'un mot de passe, on peut s'attendre à ce que chaque export soit différent, donc qu'on ne puisse pas trop utiliser de rainbow table ou truc du style dessus ? Dans ce cas quel est l'intérêt du sel ?

Follow

@kmk @bnjbvr

Actuellement on a un JSON comme ça : `{encrypted: true, data: "encryptedjson"}`. On pourrait donc imaginer ajouter une propriété `salt` (qui nous faciliterait la vie pour déchiffrer à l'import) : `{encrypted: true, salt: 'randomthingygeneratedonexport', data: "encryptedjson"}`?

· · Web · 0 · 0 · 0
Sign in to participate in the conversation
Mastodon

Server run by the main developers of the project 🐘 It is not focused on any particular niche interest - everyone is welcome as long as you follow our code of conduct!