Похоже решение найдено — это не секьюрно.
Во превых
stackoverflow.com/questions/2845986/does-having-an-unencrypted-sha-224-checksum-create-a-vulnerability
уязвимо к rainbow table attack.
т.е. действительно, если имеем миллион таких зашифрованных файлов и террабайты информации, можно легко найти файл с в котором хранится
какой-нибудь пароль в текстовом виде (типа имени любимой собачки и пары цифр), даже без чтения/расшифровки всех этих террабайтов.
(как защиту предлагается использовать hmac и соль)
Во вторых
_http://www.cs.jhu.edu/~astubble/dss/winzip.pdf
такая же штука в WinZip считается уязвимостью:
«Due to a security flaw in AE-1 (CRC of plaintext is included in unencrypted format in the output), it was replaced by AE-2 in WinZip 9.0 Beta 3.»
Думаю выход это только хранить зашифрованное тем же или другим ключём бинарное представление хэша. Или хранить хэш от зашифрованных данных, а не
от plain текста.
