我們不得不擴展我們的網站以使用AES和256位密鑰將用戶憑證傳遞給供應商網站(在查詢字符串中),但他們使用的是靜態的靜態四,解密信息時。被建議在AES實施中使用相同的IV
我已經告知,IV不應該是靜態的,它是不是在我們標準,要做到這一點,但如果他們改變他們的最終我們會招致[大]成本,所以我們已經同意接受這是一種安全風險,並使用相同的IV(很讓我非常沮喪)。
我想知道的是,這有多大的安全威脅?我需要能夠有效地與管理層溝通,以便他們確切知道他們同意的內容。
* UPDATE: *我們也在使用相同的KEY。
感謝
你可以使用鹽?如果你可以使用鹽,那麼我不會太擔心。 – Zippit 2010-12-10 12:37:32
你可能想問一下http://security.stackexchange.com – 2010-12-10 12:38:27
哦,我沒有意識到有安全交換,謝謝。 – Mantorok 2010-12-10 12:49:09