暗号文は平文の対となるものです。暗号アルゴリズムが鍵で平文を処理すると、出力は暗号文になります。ランダムに見えるデータで、復号鍵を持たない人には元のコンテンツについて何も明かしません。変換は正しい鍵があってのみ逆転できます。
良い暗号文はランダムデータと区別がつきません。AES-256-GCM のような現代の暗号アルゴリズムは、暗号文に検出可能なパターン、統計的偏り、部分的な情報漏洩がないことを保証します。暗号文を調べる攻撃者は、元のメッセージの長さを大まかな範囲を超えて特定したり、書かれた言語を判定したり、コンテンツの一部を取得したりすることはできません。
暗号文は信頼できない環境、データベース、クラウドストレージ、サードパーティのサーバーに安全に保存できます。そのセキュリティはストレージメディアのアクセス制御ではなく鍵に依存するからです。これは保存時のデータ暗号化の原則です。たとえストレージが侵害されても、鍵が安全である限りデータは保護されたままです。
Vaulted における 暗号文 の使われ方
Vaulted のサーバーに存在するシークレットの唯一の形式は暗号文です。シークレットを作成すると、ブラウザ内の AES-256-GCM 暗号化が平文を暗号文に変換し、base64url エンコードされて初期化ベクトルと共に Redis に保存されます。サーバーは暗号文を保存・配信・削除しますが、それを平文に復号する能力を持つことはありません。