Como o Bitwarden Criptografa e Descriptografa Segredos

Miguel Grinberg realizou engenharia reversa da criptografia do vault do Bitwarden a partir dos códigos-fonte do Bitwarden e Vaultwarden, documentando o formato 2.{iv}|{ciphertext}|{mac}. Neste formato, o ciphertext utiliza AES-256-CBC com padding PKCS#7 e o MAC é HMAC-SHA256 sobre iv || ciphertext. A chave mestra de 64 bytes é dividida em uma chave AES de 32 bytes e uma chave MAC de 32 bytes. A chave de wrapping é derivada de PBKDF2-HMAC-SHA256 sobre a passphrase salgada com o e-mail em 600.000 iterações, sendo então expandida em subchaves de criptografia e MAC via HKDF-Expand usando as strings de contexto literais "enc" e "mac".

Para os defensores, isso deve ser tratado como um roadmap para a descriptografia offline de um vault a partir de um arquivo Vaultwarden SQLite roubado. A força da passphrase e a contagem de iterações do PBKDF2 são as únicas barreiras uma vez que a chave mestra criptografada é exfiltrada. Portanto, é crucial auditar as iterações do KDF, considerar a migração para Argon2id e monitorar os caminhos de acesso ao banco de dados do Vaultwarden.