¿Qué tan seguro es javax.crypto.Cipher?

Question

Sé lo suficiente sobre criptología para dificultar la vida de un programador novato y los expertos en seguridad se burlan de mí. Entonces, con eso en mente, pregunto: ¿qué tan seguro es javax.crypto.Cipher? Me doy cuenta de que cualquier cosa puede ser descifrada por alguien con voluntad y una forma, pero aún me gustaría saber detalles relativos.

La razón por la que pregunto es que me gustaría almacenar nombres de cuenta y contraseñas que se enviarán a través de mi clase Cryptor que los encriptará, y me gustaría saber si esto hará el trabajo. Si alguien tiene alguna literatura que yo pudiera leer, sería muy apreciada.

Gracias ~ Aedón

Answer 1

Si tiene la intención de almacenar contraseñas de forma segura, sus requisitos son bastante diferentes de simplemente "comunicarse de forma segura/privada". Un Cipher por sí solo no es suficiente para protegerte. Es necesario utilizar uno de estos

• bcrypt
• scrypt
• PBKDF2 from PKCS#5

en esa circunstancia. Here son algunos argumentos y enlaces relacionados con la seguridad de las contraseñas.

El punto clave es que el cifrado "normal" (o hash, también) es demasiado rápido para detener a los atacantes graves. Desea ralentizar artificialmente todo el proceso para que sea lo más difícil posible para alguien atacar sistemáticamente su aplicación. Un solo usuario no notará la diferencia entre 1 o 500 milisegundos al ingresar una contraseña, pero para un atacante esto significa que para romper su esquema les tomará 500 veces más tiempo en promedio, por lo que habría tomado aproximadamente 1 mes para encontrar una contraseña válida antes, ahora tomará 500 meses.

Answer 2

Desde NullCipher es un Cipher - no es seguro en absoluto.

Answer 3

Cipher es una clase genérica para aplicar un algoritmo de cifrado/descifrado. Su seguridad depende del algoritmo de cifrado real utilizado (DES, triple-DES, AES, etc.), del tamaño de su clave y del tipo de encadenamiento de bloque que elija.