Hola,

Encontré por la web una librería javascript CryptoJS y quiero emplearla en un proyecto pero como no se muchas cosas de criptografia por esto pongo aquí mis dudas.

Hice pruebas y pude cifrar en el cliente con CryptoJS AES256 y escogiendo una passphrase la libreria genera IV y salt aleatorio.

La passphrase no se envia por la red sino via SMS

Pero el mensaje cifrado (chipertext) el  IV y el salt debo enviarlos por la red ( con https ) para poder desencriptarlo al otro lado.

Mi primera duda es la siguente:
¿compromete mucho la seguridad si un supuesto atacante ( aunque sea por https) accede al IV y al salt  sin tener (teroricamente al menos) acceso a la passphrase que va por otra via ?

La segunda duda:
¿Una passphrase de aproximadamente 100 caracteres sera razonablemente fuerte ?

Gracias

P.D
Estoy consciente que no existe seguridad 100% ... solo busco que sea bastante fuerte

---

A no ser que no he entendido bien ... despues de investigar un poco mas sobre el asunto, dicen por ahi que el IV y la sal son publicos ... y que lo que tiene mas importancia es la aletoriedad de los mismos.

asi que mi primera duda cambiaria en:

¿como puedo probar la calidad de la dicha aletoriedad?

La libreria de la cual dije en el principio es esta :
https://github.com/brainfoolong/cryptojs-aes-php

MOD EDIT: No hacer doble post.

Ok ... ya puedo dormir tranquilo los siguientes 150 de años 

Es broma ... se que nunca se puede estar tranquilo pero como dijo uno "Lo que tiene que pasar pasara".

Saludos y gracias por responder

Hola,

He visto por internet una manera de comprobar si hay alguen en el medio con tracert

Hiciendo tracert google.es  me salio:
 en primer lugar
192.168.1.1 que es el ip de mi ruter
en segundo lugar
192.168.144.1 que no se que es
luego lo de telefonica (unos cuatro ip-s) algo genero:
xxx.red-xx-xx-xx.staticip.rima-tde.net
y luego lo de google


Mi duda es con esta segunda ip 192.168.144.1 que no es de mi ordenador ( ademas esta en otro rango)
¿Es esto un man in the middle?

Gracias