パスワードを保存する暗号化アプリ

ふぐ…若く感じます。これは15年以上前のアルゴリズムであり、それ自体は悪くありませんが、Blowfish自体の作成者（Bruce Schneier）は、1998年にAESコンペティション用に Twofish という拡張バージョンを提案しました。 。この製品が「究極のデータベースソリューション」であると主張しているが、 [〜＃〜] aes [〜＃〜] を含む過去15年間の科学技術を無視していることは、良い兆候ではありません。

異なるファイルに同じパスワードを使用すると同じ「識別子」が生成されるが、パスワードが異なると異なる識別子が生成される場合、この「識別子」を使用して、コスト分担でパスワードを攻撃できます。つまり、 レインボーテーブル 。攻撃者は、その製品からのファイルのすべてのインスタンスにテーブルを適用できるため、テーブルを1回作成する費用を負担する可能性があります。これは悪い兆候ではありません、これは悪い兆候です。

これは、パスワードがファイルから簡単に抽出できることを意味するものではありませんが（これもこの可能性を排除するものではありません）、notを使用することをお勧めしますこの製品。

この「hexidentifier」はパスワードの単純なハッシュのように聞こえますが、少なくとも、異なるファイルが同じパスワードで暗号化されているかどうかを判断できるという弱点があります。それは必ずしも致命的ではありません。ほとんどの暗号化スキームには、同じファイルが生成されないようにするために、事実上パスワードの一部である「ソルト」が含まれています。それも弱点です。

一般に、（私のような）意味のあるアマチュアによって開発されたアドホック暗号化システムは、この種の体系的な弱点に悩まされています。 「1zillionbitblowfish」と主張することは煙を吹いています。一方、国の秘密を保存しない限り、暗号化されたデータがこれらの弱点を悪用するような専門的な攻撃を受けることは決してありません。