On réfléchit à notre fonctionnalité d'import/export et au futur avec le multi-utilisateurs. Si la sécurité c'est votre truc, on a besoin de vous !

community.kresus.org/t/exports

@kresus Est-ce que la raison pour laquelle Kresus utilise ce sel est documenté quelquepart ?
Dans les usages traditionnels du sel, le sel est *inclus* avec le texte haché ( en.wikipedia.org/wiki/Salt_(cr ) et le nonce avec le texte chiffré (en.wikipedia.org/wiki/Cryptogr )

@bnjbvr Pouquoi ne pas simplement utiliser une fonction de dérivation de clé « normale » comme PBKDF2 par exemple ?
Ah ben c'est justement ce qui est fait 🙂
Du coups reste la question : pourquoi ne pas mettre le sel en clair en préfixe du message chiffré ?

@kmk c'était une contribution externe, j'en ai aucune idée :D
Donc le sel doit être unique, mais ensuite on peut l'inclure dans le message, sans avoir besoin de le cacher ?

@kmk @bnjbvr Dans le contexte d'un export de données (JSON mais peu importe) et non d'un mot de passe, on peut s'attendre à ce que chaque export soit différent, donc qu'on ne puisse pas trop utiliser de rainbow table ou truc du style dessus ? Dans ce cas quel est l'intérêt du sel ?

@nicofrand @kmk @bnjbvr Si dans le contexte de JSON, il y a aussi des standards pour le chiffrement. Ca ne signifie pas qu'on ne peut pas faire autrement évidemment mais ca reste des bonnes lectures de départ. C'est le système JOSE. Cf RFC 7516 et 7520 notamment.

@pmevzek et t'as pas un TLDR plutôt ? :p Tout le monde peut pas devenir expert, on cherche de l'aide, on voudrait des solutions simples et concrètes, pas deux RFC et une aura de mystère :p

Suivre

@bnjbvr Ah ok, non alors, sorry, TL;DR et crypto dans la même phrase, je passe. La "bonne" alternative alors est d'utiliser la bonne bibliothèque qui fait tout bien avec les bonnes valeurs par défaut pour empêcher les développeurs pressés de faire de mauvais choix. Mais choisir la bonne bibliothèque n'est pas TL;DR non plus, il faut soit comprendre ce qui se passe en dessous soit avoir 100% confiance dans la recommendation d'un tiers. Désolé d'être intervenu alors, bonne chance dans la suite.

· · Web · 0 · 0 · 1
Inscrivez-vous pour prendre part à la conversation
Framapiaf

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !