ฉันกำลังอ่านคำถามเกี่ยวกับคีย์สมมาตร ที่นี่ และพบคำตอบที่น่าสนใจทีเดียว มันกล่าวถึง:
ต้องแน่ใจว่าได้ส่งผ่านข้อมูลเป็นไบต์ดิบ ไม่ใช่เช่น สตริงที่เข้ารหัสเลขฐานสิบหก
ใครสามารถอธิบายว่าทำไมสิ่งนี้ถึงไม่ดี? และในบริบทของการแฮชรหัสผ่าน กำลังแปลงเกลือเป็นเลขฐานสิบหกก่อนที่จะส่งแม้ว่า HMAC จะเสีย และถ้าเป็นเช่นนั้น เพราะเหตุใด
นี่ไม่ได้พูดถึงเกลือเลย แต่เกี่ยวกับคีย์สมมาตรจริง ๆ อ้างวรรคเต็ม:
สภาพแวดล้อมการเขียนโปรแกรมส่วนใหญ่มีกลไก "การสุ่มแบบปลอดภัย" (CSPRNG) บางประเภท คุณสามารถใช้สิ่งนี้เพื่อรับอาร์เรย์ไบต์ที่มีความยาวเหมาะสม (เช่น 32 ไบต์สำหรับ AES256) ซึ่งสามารถใช้เป็นคีย์ได้ ต้องแน่ใจว่าได้ส่งผ่านข้อมูลเป็นไบต์ดิบ ไม่ใช่เช่น สตริงที่เข้ารหัสเลขฐานสิบหก
ซึ่งหมายความว่าหากคุณกำลังจะสร้างคีย์ขนาด 32 ไบต์ (ตามที่แสดงในย่อหน้า) ตรวจสอบให้แน่ใจว่าสิ่งเหล่านี้เป็น 32 ไบต์ดิบ และไม่ใช่ 32 ไบต์ของคีย์เข้ารหัสฐานสิบหก
เหตุผลนี้ง่ายมาก:
256^32 คีย์ที่เป็นไปได้16^32 คีย์ที่เป็นไปได้หากคุณต้องการส่งผ่านคีย์เป็นเลขฐานสิบหก ให้ใช้เอาต์พุตทั้งหมดซึ่งจะมีความยาว 64 ไบต์
สำหรับเกลือ ความแรงของเกลือขึ้นอยู่กับขนาดของมันไม่สำคัญว่าจะเป็นดิบหรือเป็นเลขฐานสิบหก สิ่งสำคัญคือจำนวนเกลือที่เป็นไปได้
ใครสามารถอธิบายว่าทำไมสิ่งนี้ถึงไม่ดี?
ใครบอกว่าการเข้ารหัสเกลือก่อนการแฮชนั้นไม่ดี? เมื่อ Tim McLean เขียน:
ต้องแน่ใจว่าได้ส่งผ่านข้อมูลเป็นไบต์ดิบ ไม่ใช่เช่น สตริงที่เข้ารหัสเลขฐานสิบหก
เขากำลังพูดถึงการสร้างกุญแจสำหรับรหัสสมมาตรโดยเฉพาะ เขาไม่ได้พูดถึงการสร้างภาพที่จะแฮช
เมื่อคุณสร้างเกลือสำหรับแฮช ไม่มีอะไรผิดปกติกับการใช้การเข้ารหัสฐานสิบหก
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
