Deine 5. könnte die Hashsumme des Passwortes sein.
Aber wieso sollte man die da rein packen? I.d.R. läuft es doch so: Über das Passwort und den Salt wird der Hash berechnet, der als Schlüssel für die Verschlüsselung dient. Den Hash also mit rein zu packen ist nicht nur sinnlos, sondern würde sogar den Schlüssel verraten
Nein würde er nicht, denn Sha-256 ist kryptographisch sicher und durch die Hashsumme kann nicht auf das Passwort geschlossen werden. Schreibst du den Hash nicht, bzw. einen aussagekräftigen teil davon, in den Header, hast du keine Möglichkeit das Passwort auf Richtigkeit zu überprüfen. Du musst dann die Datei vollständig mit dem falschen Passwort entschlüsseln, um festzustellen ob es richtig ist oder nicht. Bei großen Dateien ist das wohl kaum praktikabel.
