Комментарии к состоянию https://gist.github.com/shadowhand/873637
«Шифрование в режиме ECB — это относительно простой метод шифрования, который обеспечивает высокий уровень запутывания (или низкий уровень шифрования). Этот метод не очень безопасен и не должен использоваться для конфиденциальных личных данных, но будет хорошо работать, например, для. передача исходного кода между частными сторонами по общедоступному каналу. Для большей безопасности вы можете переключить режим на CBC за счет полного изменения каждого файла для каждой модификации. Как и при любом шифровании, всегда рекомендуется надежный ключ».
и
«Это своего рода (часть) определения функционально правильного шифрования — ECB (нажмите здесь для объяснения) — это ошибочная устаревшая реализация, никем не рекомендованная для текущего использования сегодня и поддерживаемая только в OpenSSL, потому что OpenSSL поддерживает некоторые очень старые и скрипучие устаревшие криптографические реализации! Это полезно только сегодня как инструмент обучения и никогда не должно использоваться в текущих системах.
Режимы CBC или OFB должны использоваться по умолчанию — пожалуйста, подумайте об изменении сути, чтобы использовать CBC, и объясните потенциальные преимущества ECB наряду с недостатками для тех, кто хотел бы смириться с потерей безопасности ради небольшого удобства в git. Ничто не должно быть небезопасным по умолчанию!»
http://git.661346.n2.nabble.com/Transparently-encrypt-repository-contents-with-GPG-td2470145.html однако утверждает, что использование соли с фиксированным значением для CBC является плохой криптографической практикой. Если бы мы переключили режим на CBC (для https://gist.github.com/shadowhand/873637 или https://github.com/shadowhand/git-encrypt), будет ли он использовать соль с фиксированной стоимостью и, следовательно, плохая криптопрактика?
(Я также разместил этот вопрос в качестве комментария на https://gist.github.com/shadowhand/873637. а> )