ฉันเห็นว่ามีคำถามมากมายเกี่ยวกับการจัดการค่าเกลือ แต่จนถึงตอนนี้ฉันไม่เห็นคำถามใดที่หักล้างคำถามต่อไปนี้
เมื่อใช้ KDF การเข้ารหัส ฉันเชื่อว่าค่าของเกลือควรเป็นค่าสุ่มและเปลี่ยนแปลงในแต่ละครั้ง แม้กระทั่งสำหรับผู้ใช้แต่ละราย (ผู้ใช้คนเดียวกันสร้างคีย์ที่แตกต่างกันสองคีย์ ณ เวลาต่างๆ ด้วยเหตุนี้จึงปลอดภัยที่จะเก็บเกลือที่สร้างขึ้นแบบสุ่มในที่จัดเก็บแบบถาวรหรือไม่?
ฉันใช้ scrypt เพื่อสร้างคีย์สำหรับ AES ฉันไม่เก็บคีย์ที่ใช้สำหรับการเข้ารหัส ดังนั้น ในการถอดรหัสข้อมูล ฉันต้องใช้ scrypt อีกครั้งเพื่อสร้างคีย์ ในการทำเช่นนี้ฉันต้องใช้รหัสผ่านผู้ใช้ (ผู้ใช้ป้อนทุกครั้ง) และเกลือ เนื่องจากคีย์ต้องตรงกับคีย์ที่ใช้สำหรับการเข้ารหัส ฉันต้องเก็บเกลือไว้เพื่อให้ได้มาซึ่งคีย์เดิมอีกครั้งหรือไม่
เช่นเดียวกับเวกเตอร์เริ่มต้น เกลือนี้สามารถเก็บไว้ในที่สาธารณะได้หรือไม่? สำหรับกรณีการใช้งานของฉัน ทั้งสตริงที่เข้ารหัสและ IV จะถูกเก็บไว้ในสาธารณะ เกลือจะถูกจัดเก็บแบบนี้ด้วยหรือไม่
จุดประสงค์ของเกลือคือเพื่อป้องกันการใช้ตารางสายรุ้ง พูดง่ายๆ ก็คือ ใช้เกลือที่แตกต่างกันสำหรับการแฮชรหัสผ่านที่แตกต่างกัน เกลือไม่จำเป็นต้องเป็นความลับ เป็นเรื่องปกติที่เกลือจะถูกจัดเก็บในรูปแบบที่เข้าถึงได้ง่าย
ในการรับคีย์ AES เดียวกันกับ scrypt คุณควรใช้อินพุตเดียวกัน ไม่เพียงแต่ เกลือ ควรเหมือนกัน แต่รวมถึงพารามิเตอร์อื่น ๆ เช่น จำนวนการทำซ้ำ ควรจะเหมือนกันและนั่นเป็นเหตุผลที่ควรเก็บไว้ด้วย และพารามิเตอร์เหล่านี้รวมถึงเกลือไม่จำเป็นต้องเป็นความลับ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
