Hallo,

Wo liegen überall die Schwachpunkte wenn ich z.B. einen Hash dieses Passwortes, dass ja beim Login eingegeben wurde, in der Session Speichere und dieses dann als Passwort zum ver- und entschlüsseln verwende?

Wo liegen denn die Stärken? Mir fallen keine ein.

Das hoffentlich gesalzene und gehashte Login-Passwort steht üblicherweise in der User-Tabelle. Sonst wäre es dir ja unmöglich, eine Authentifizierung umzusetzen.

Das als Schlüssel oder nur als Ausgangsbasis für einen Schlüssel zu verwenden, ist schon einmal Quatsch.

Sobald die Session beendet ist, ist das "Passwort" weg und ich müsste es nirgends abspeichern.

Das Login-Passwort muss (wenn auch gesalzen und gehasht) abgespeichert werden, sonst gäbe es keinen passwortbasierten Login.

Daraus einen weiteren Hash zu berechnen, macht diesen Wert nicht brauchbarer im Hinblick auf eine Verwendung für eine symmetrischen Verschlüsselung.

Du musst damit rechnen, dass ein Angreifer das Login-Passwort herausbekommen kann und auch auf das Verfahren kommt, mit dem du daraus einen Schlüssel berechnest.

Selbst wenn nicht: Du willst doch eine Kommunikation zwischen zwei Usern verschlüsseln und niemand dazwischen soll mithören können, soweit ich das verstanden habe. Also ist die Frage, wie entschlüsselt der Empfänger die Nachricht, wenn du den Schlüssel weggeworfen hast?

Wenn du jetzt sagst, du kannst ihn aus dem Passwort des Absenders erschließen, dann sollte hoffentlich klar geworden sein, wie sinnlos diese Verschlüsselung ist.

Mach dir einmal klar, was du genau vorhast, was für Verschlüsselungstechniken und was für Angriffsszenarien es gibt. Dazu wurden dir schon einige Links gegeben. Du tappst gerade ziemlich im Dunkeln, scheint mir. Nicht böse gemeint.

Grüße
Mathias