web-dev-qa-db-ja.com

BCRYPTを使用してデータを暗号化できますか?

他の誰かがゴーストメール( https://www.ghostmail.com/crypto )について質問し、それが有効に見えるかどうかを投稿しました。私にとって警報が鳴ったのは、「アカウントパスワード(これはBCRYPTを使用して暗号化して送信および保存されます)」という文でした。彼らは単にハッシュと暗号化の違いを知らないのですか、それとも実際にBCRYPTでパスワードを暗号化する方法はありますか?

5
trallgorm

その場合、それはおそらくパスワードハッシュ関数 bcrypt であり、「ハッシュ」と「暗号化」を区別しない人によって記述されています。悪い用語、良い機能。

bcrypt と呼ばれる暗号化ツールもあると言わざるを得ません。これは、暗号化ツールに関する限り、非常にうまく機能しないことが知られています。これは、大きな混乱の原因となることがあります。

12
Tom Leek

GhostMailに代わって返信しています。

まず、混乱の可能性があることをお詫びします。

BCRYPTアルゴリズムを使用した暗号化とハッシュに関する誤解は、当社のWebサイトで修正されました。

Oasiscircleが指摘したように、これらは明らかに目的が異なる2つの異なるものです。

BCRYPTは、いくつかのデータベースに格納するパスワードの暗号ハッシュを計算するために使用される鍵導出関数です。

この場合、「アカウントパスワード」自体が、ハッシュアルゴリズムとしてPBKDF2とSHA-256を使用してクライアント側で計算され、5000回のハッシュを実行する暗号化ハッシュであることに注意してください。この手法はキーストレッチとも呼ばれます。

暗号設計についてさらに質問があれば、喜んでお手伝いします。

5
Mickey Joe