Модель шифрования

Одним из главных улучшений проекта стала замена старой самописной схемы шифрования на более безопасный и стандартный подход на базе AES-GCM.

Раньше

Старая версия использовала самодельную схему XOR/keystream + HMAC. Для экспериментов это интересно, но для безопасного хранения паролей это плохая долгосрочная основа.

Сейчас

Теперь проект использует AES-GCM через библиотеку cryptography. Это даёт authenticated encryption и намного более надёжную и поддерживаемую реализацию.

PBKDF2

Данные пользователя безопасно используются для получения vault-ключа.

AES-GCM

Каждая запись шифруется ключом, производным от vault-секрета и случайной соли.

Migration

Старые записи поддерживаются и автоматически переносятся в новый формат после входа.