SRPとクライアント側の暗号化の両方に同じパスワードを使用できますか？

健康上の注意の練習として、私は次のことをアドバイスします。

• ユーザーパスワードからキーkを取得する場合は、キーを長くして、2つに分割します。前半はSRPに使用し、後半は暗号化に使用します。これを達成する簡単な方法は、SHA-256でkをハッシュし、256ビットを生成して、2つの細かい128ビットキーに分割することです。または、 PBKDF2 のように、出力サイズを調整可能な 鍵導出関数 を使用します。

  ここでの要点は、対称暗号化とSRPで実行される計算との間の、望ましからぬものですが、望ましくない「相互作用」を回避したいということです。 2つのサブキー間で一方向性の層を挿入すると、このような問題を防ぐことができます（SHA-256が多かれ少なかれ ランダムOracle のように動作すると想定）。

• ある理由で暗号化します。その後、攻撃者が対称的に暗号化されたデータBLOBを観察する可能性があると想定する必要があります。そうでなければ、暗号化のポイントは何でしょうか？しかし、そのような盗聴が可能な場合は、塩が適切である必要があります。すべてのユーザーが同じソルトを使用し、攻撃の最適化（つまり、レインボーテーブル）を可能にするため、空のソルトはそれをカットしません。

  ここで興味深い点があります。それは、SRP自体に塩処理が含まれていることです。 SRPをTLSハンドシェイクに統合する方法を説明する RFC 5054 をよく見てください。最初のステップでは、クライアント（ClientHello内）がユーザーのID（I）を送信します。サーバーは、salt ServerKeyExchangeを（他の値とともに）含むsを含むいくつかのメッセージで応答します。つまり、ここに、「ソルトを要求するすべての人にソルトを送信するサーバー」があります。

SRPでの実際のパスワード処理は、x = SHA1(s | SHA1(I | ":" | P))の計算です。これはソルト付きですが、十分に反復されていないパスワードハッシュ関数です。これは現在定義されているSRPの既知の問題です。ただし、クライアントとサーバーが同意する限り、この操作を 強力なパスワードハッシュ関数 に置き換えるのは簡単です。

これにより、次のスキームが得られます。

• 登録時に、ユーザーは自分のパスワードPを選択し、ランダムなソルトsが生成されます（たとえば、暗号学的に強力なPRNGから128ビット）。
• Pとsから、強力なパスワードハッシュ関数（ bcrypt など）が適用され、中間値zが生成されます。 SHA-512の場合、512ビットになります。これらの512ビットは2つの256ビットの半分に分割されます。前半はSRPのx値であり、後半（yと呼ぶ）は対称暗号化に使用されます。
• ログインすると、クライアントは最初にユーザー名（I）をサーバーに送信し、salt sを取得します。 xとyの同じ計算が再度行われます。 x部分はSRPに使用され、y部分はサーバーに格納されているblobを復号化するために使用されます。

このスキームは、上記のすべてのポイントを組み合わせたものです。パスワードからキーへの派生では、適切な関数を適切なランダムソルトで使用します。パスワードの2つの使用法の間にSHA-512の分離層があります。基本的なSRPと比較して、追加のメッセージ交換は必要ありません。実際、ここで提案するのは、SRPで行われるパスワードハッシュの強化であり、対称暗号化のニーズに合わせてパスワードから派生したキーを追加でリーチングすることです。

最初にSSL/TLSトンネルを確立してからSRPを実行することもできますが、RFC 5054の道に従って、TLSハンドシェイクにSRPを使用することもできます。ここでは、SRP実装を含むクライアントコードとサーバーコードの両方を制御する必要があります。ここでは、パスワードからキーへの派生プロセスを変更する（つまり、強化する）ことを提案しているからです。これに対応して、クライアントは必要なコードをすでに持っている必要があります。 Web-Javascriptのコンテキストでは、最初に「通常の」SSL/TLSが必要になりますが、その時点でSRPの利点は非常に小さくなります。

SRPに固有のように、サーバーがソルト値を誰にでも要求できるようにすることは、重大な問題ではありません。塩は秘密を必要としません。ソルト値を秘密に保つことは害ではありませんが、これは二次的な目標にすぎません。塩の主なポイントはuniquenessです。秘密の不当なかゆみを独自性の道に入れないでください。