Sobre a vulnerabilidade relacionada à senha da criptografia simétrica

Existem ferramentas como gpg ou ccrypt que usam o algoritmo AES para criptografar simetricamente um arquivo, que eu li que é bastante seguro, e usa chaves de 128/256 bits. Agora, talvez eu esteja perdendo ou não entendo alguma coisa, mas essas ferramentas geram essa chave com base na senha que você digita.

Então os dados criptografados não são tão vulneráveis ​​quanto a sua senha? Ou seja, se você usar uma senha fraca, isso não seria vulnerável a ataques de força bruta?

Quero dizer, se você usar uma frase-senha digamos de 6 caracteres, a quantidade de tentativas para corresponder à senha será muito menor do que adivinhar uma chave de 128 bits.

Se for verdade, qual é a maneira comum de fazer as coisas? Basta usar uma senha longa e difícil de adivinhar?

Sim, claro. Você está certo. Todo sistema que depende apenas de uma senha como entrada será forte como a senha. Existem várias possibilidades de como fortalecer a criptografia:

1. Certamente use uma senha de boa qualidade . A força depende de vários fatores, como: qual é o valor de seus dados, quanto um possível invasor investirá no cracking, quanto tempo os dados devem permanecer inquebráveis ​​no futuro etc.
2. Use apenas software que deriva a chave de criptografia usando uma função comprovada que consome uma quantidade considerável de tempo de computação como PBKDF2 . Isso dificulta muito a quebra de senha do dicionário e de força bruta.
3. Se possível, use um fator adicional além da senha - como um armazenamento de segurança física protegido por senha de uma chave criptográfica. Esses dispositivos são conhecidos como cartões inteligentes ou tokens de segurança USB.
4. Se a solução do ponto anterior não for possível e os dados criptografados forem armazenados em um ambiente muito acessível (como um servidor público da Web), você poderá melhorar a segurança armazenando a chave de criptografia em um arquivo - obviamente criptografada por sua senha (respeitando os dois primeiros pontos). O arquivo com a chave de criptografia seria armazenado em um local mais seguro, como os diretórios pessoais do seu computador.

Em uma palavra, sim - sempre que você usa criptografia simétrica, ela é tão forte quanto a frase secreta que você escolher; portanto, você precisa escolher uma que seja longa e difícil de aplicar força bruta. Não há uma diretriz definitiva sobre exatamente quanto tempo precisa, mas 20 a 30 caracteres é o que você deve ter em mente se estiver buscando segurança máxima.