他の誰かがゴーストメール( https://www.ghostmail.com/crypto )について質問し、それが有効に見えるかどうかを投稿しました。私にとって警報が鳴ったのは、「アカウントパスワード(これはBCRYPTを使用して暗号化して送信および保存されます)」という文でした。彼らは単にハッシュと暗号化の違いを知らないのですか、それとも実際にBCRYPTでパスワードを暗号化する方法はありますか?
GhostMailに代わって返信しています。
まず、混乱の可能性があることをお詫びします。
BCRYPTアルゴリズムを使用した暗号化とハッシュに関する誤解は、当社のWebサイトで修正されました。
Oasiscircleが指摘したように、これらは明らかに目的が異なる2つの異なるものです。
BCRYPTは、いくつかのデータベースに格納するパスワードの暗号ハッシュを計算するために使用される鍵導出関数です。
この場合、「アカウントパスワード」自体が、ハッシュアルゴリズムとしてPBKDF2とSHA-256を使用してクライアント側で計算され、5000回のハッシュを実行する暗号化ハッシュであることに注意してください。この手法はキーストレッチとも呼ばれます。
暗号設計についてさらに質問があれば、喜んでお手伝いします。