Splikity的安全性

Question

有一个名为Splikity的密码应用程序。它的特点是：

• 军用级加密
• 在你的设备上加密
• 行业中最强大的安全
• 连续安全测试

虽然我相信它使用AES256和SHA256，但我知道安全性不仅取决于所使用的工具，还取决于他/她如何使用它们。

所以我的问题是: Splikity真的安全吗？有办法知道这样的应用程序有多安全吗？

Answer 1

没有办法完全确定它是安全的。我们不可能完全确定任何事情都是安全的。

如果没有完全的安全性，有几种方法可以合理地确保安全级别是足够的。

最好的方法是让熟悉这类things...Both (密码学方面)和安全软件开发()的人对产品进行审计。此外，当前的实现不仅需要看起来合理地没有缺陷，而且还需要有维护和修补计划，以确保保持这种状态，并且如果将来发现问题，就可以迅速补救。

如果您能够完成直接审计，那么也可以合理地期望应用密码和安全软件社区的受人尊敬的成员构建的东西可能是可以使用的。我不知道这是不是。

所以，如果你对软件本身没有洞察力，或者至少对软件的创建者没有洞察力，那么就没有什么好的方法来确定它是否设计和实现得好。

尽管如此，撇开“军事级”营销子弹不谈，他们所描述的方法并没有明显的缺陷。AES-256是个不错的选择。在这方面，PBKDF2不如氪星或bcrypt好，但可能更有可能已经在他们使用的平台上正确地实现了，而且它已经足够好了。它们清楚地表明，解密只在客户端完成，并且没有主密钥恢复过程，这是很好的。他们声称服务器和客户端之间的所有通信都是通过SSL (希望是TLS)完成的，如果正确的话，这是正确的。

从描述中我们无法知道一些事情。他们正确使用AES吗？PDKDF2回合的数量是否真的足以达到这个目的？他们是否安全地管理客户端上的解密数据、密码和密钥？在选择像this...Though这样的产品之前，我会想要回答以下几个问题--事实上，我很难在这个市场上选择一个也跑过KeePass或Password1之类的产品，而且没有一个特别令人信服的理由。只有较少的机会，它将得到适当的审查和任何问题，它将被带到表面，以解决。