2加密/散列的情况下，哪一个是最好

Question

思考这些下面两种情况，哪一个是最好的，最安全的一个

第一种情况

//key1 generated from static salt and user password, because in case attacker don't know about source code (bad assumption, but still my assumption), attacker have only hashed or encrypted data + random generated salt 
staticSalt = "StaticSalt" 
key1 = pbkdf2(userPassword, staticSalt, iteration) 

//key2 generated from key1 and randomSalt, this will be actual key to be used for encryption 
randomSalt = GenerateRandomSalt() 
key2 = pbkdf2(key1, randomSalt, iteration) 

aes.Key = Key2 
aes.IV = aes.GenerateIV() 

或

第二种情况

//directly generate key from randomSalt and password 
randomSalt = GenerateRandomSalt() 
key1 = pbkdf2(userPassword, randomSalt, iteration) 

aes.Key = Key1 
aes.IV = aes.GenerateIV() 

我的问题是，使用第一种情况是否有任何缺点，它会增加或减少熵，或使得不太安全？

或者第二种情况是远远更好的和安全的方式做

寻找一些加密专家的回答。

Answer 1

此问题更适合于Sec.SE。

如果您使用此代码存储密码，请参阅this question，特别是如何正确散列和存储密码。

---

第一种情况似乎添加了默默无闻，而不是安全性。从长远来看，通过增加攻击区域（即更多发生错误的地方），这实际上可能会降低安全性。

请记住，你don't want to be a Dave。