256ビットキーのAESを使用して、ユーザーの資格情報を(クエリ文字列で)サプライヤーのWebサイトに伝達するために、Webサイトを拡張する必要がありましたが、情報を復号化するときに静的IVを使用しています。
IVは静的であってはならず、それを行うことは私たちの基準にはないことをアドバイスしましたが、IVが変更された場合、[大きな]コストが発生するため、これをとして受け入れることに同意しました。セキュリティリスクがあり、同じIVを使用します(私の極端なフラストレーションになります)。
私が知りたかったのは、これがセキュリティ上の脅威のどれだけかということです。これを経営陣に効果的に伝えて、彼らが何に同意しているのかを正確に把握できるようにする必要があります。
私たちも同じKEYを使用しています。
ありがとうございます