Як слід змінити шифрування відповідно до *** ПОПЕРЕДЖЕННЯ: використане застаріле виведення ключа

Коли я шифрую або розшифровую отриманий файл *** WARNING : deprecated key derivation used. Using -iter or -pbkdf2 would be better.

Я не розумію, що це означає, як я повинен змінити свої процедури. Не могли б ви мені допомогти? Я шифрую openssl des3 <input >output.des3і розшифровую за допомогою openssl des3 -d <input.des3 >output

Про довкілля

Ubuntu 18.10

~$ openssl version OpenSSL 1.1.1 11 Sep 2018

Порівнюючи Synopsys двох основних та останніх версій OpenSSL, дозвольте мені процитувати довідкові сторінки.

OpenSSL 1.1.0

openssl enc -ciphername [-help] [-ciphers] [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a/-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md digest] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-engine id]

OpenSSL 1.1.1

openssl enc -cipher [-help] [-ciphers] [-in filename] [-out filename] [-pass arg] [-e] [-d] [-a] [-base64] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-S salt] [-salt] [-nosalt] [-z] [-md digest] [-iter count] [-pbkdf2] [-p] [-P] [-bufsize number] [-nopad] [-debug] [-none] [-rand file...] [-writerand file] [-engine id]

Очевидно, є деякі більші відмінності, а саме з огляду на це питання, ці два комутатори відсутні в 1.1.0:

• pbkdf2

• iter

У вас зараз два варіанти. Або ігноруйте попередження або налаштуйте команду шифрування на щось подібне:

openssl enc -aes-256-cbc -md sha512 -pbkdf2 -iter 100000 -salt -in InputFilePath -out OutputFilePath

Де ці комутатори:

• -aes-256-cbcце те, що вам слід використовувати для максимального захисту або 128-бітну версію, 3DES (Triple DES) відмовилися деякий час тому, див. Triple DES був знищений NIST в 2017 році , в той час як AES значно прискорюється всіма сучасними процесорами; ви можете просто перевірити, чи встановлений у вашому процесорі інструкцію AES-NI, наприклад, використовуючи grep aes /proc/cpuinfo; виграти, виграти

• -md sha512 є більш швидким варіантом сімейства функцій SHA-2 порівняно з SHA-256, хоча він може бути трохи більш безпечним; виграти, виграти

• -pbkdf2: використовувати алгоритм PBKDF2 (функція виведення ключа на основі пароля 2)

• -iter 100000 відміняє кількість ітерацій пароля за замовчуванням, цитуючи довідкову сторінку:

  Використовуйте задану кількість ітерацій пароля для отримання ключа шифрування. Високі значення збільшують час, необхідний для грубої сили отриманого файлу. Цей параметр дозволяє використовувати алгоритм PBKDF2 для отримання ключа.