В Интернете много статей и цитат о том, что «соль» должна храниться в секрете. Даже запись в Википедии наПоваренная соль:

Для лучшей безопасности значение соли хранится в секрете отдельно от базы паролей. Это дает преимущество, когда база данных украдена, а соль - нет. Чтобы определить пароль из украденного хэша, злоумышленник не может просто попробовать общие пароли (например, английские слова или имена). Скорее, они должны вычислять хэши случайных символов (по крайней мере, для той части ввода, которую они знают, это соль), что намного медленнее.

Так как я точно знаю, что соль шифрования (или векторы инициализации) в порядке, чтобы их можно было хранить на открытом тексте вместе с зашифрованным текстом, я хочу спроситьпочему это заблуждение увековечено ?

Мое мнение таково, что источником проблемы является общая путаница между солью шифрования (блочный шифрвектор инициализации) и хеширование "соль". Хранение хешированных паролей является обычной практикой для добавления одноразового номера или «соли», и (немного) верно, что эту «соль» лучше хранить в секрете. Что, в свою очередь, делает его вовсе не солью, а ключом, похожим на так называемыйсекрет вHMAC, Если вы посмотрите на статьюХранение паролей - сделано правильно! который связан с записью «Salt» в Википедии, вы увидите, что речь идет об этом виде «соли», хэша пароля. Я не согласен с большинством этих схем, потому что считаю, что схема хранения паролей должна такжеHTTP Digest аутентификация, в этом случае единственно возможным хранилищем является дайджест HA1 имени пользователя: realm: пароль, см.Хранение пароля в таблицах и дайджест-аутентификация.

Если у вас есть мнение по этому вопросу, пожалуйста, напишите здесь в качестве ответа.

Вы думаете, что соль для блочного шифрования должна быть скрыта? Объясните почему икак.Согласны ли вы с тем, что общее утверждение «соли должны быть скрыты» происходит от соленого хеширования и не относится к шифрованию?Можем ли мы включить потоковые шифры в обсуждение (RC4)?