【发布时间】:2010-10-14 18:23:58
【问题描述】:
在 URL 中传递对称加密数据或可能将加密数据存储在 cookie 中时,是否合理和/或必要和/或也可以在同一 URL 中传递对称加密 IV (Salt)?在网络等无状态环境中使用 Salt 的想法是否有效?
(我了解 salt 在给定名称或帐户等列表的数据库中是如何工作的,但鉴于我们在无状态环境中传递数据,我们无法保存 salt。
假设一个服务器端密码是用来加密数据然后解密数据的,Salt怎么用呢?我猜可以在查询字符串中传递一个单独的 IV,但公开暴露盐好吗?
或者可以从“密码”的散列中生成密钥和 IV。假设 IV 和 Key 来自哈希的非重叠区域,这可以吗? (我意识到给定密码的盐/密钥将始终相同。)
编辑:通常使用 AES。
【问题讨论】:
标签: encryption platform-agnostic