Hallo
Ich baue seit ein paar Tagen an einem Projekt rum, das Dateien und ganze Ordner mit Twofish Ver- und Entschlüsseln kann.
Das ganze funktioniert auch soweit gut.

Beim Verschlüsseln schnappt sich das Prog eine Datei, verschlüsselt es via Twofish und dem Passwort in eine TempDatei und das wiederum wird via Streams in eine neue Datei "gepackt" das dann so aussieht:

| teststring (immer gleich), verschlüsselt mit Passwort | Dateiname, verschlüsselt mit Passwort | Verschlüsselte Datei |

Also habe ich auch den Dateinamen, in die Datei selbst Verschlüsselt und dann wird der original Dateiname eine MD5 Summe aus dem alten.
Der Teststring (worum es mir jetzt primär geht) ist eine Zeichenfolge (7 Zeichen) die in der Exe fest integriert ist und mit dem Passwort verschlüsselt wird, womit verschlüsselt wird

Meine Frage ist jetzt -> Stellt diese Technik für die Passwortüberprüfung eine Lücke dar ? Kann man damit eventuell Rückschlüsse auf das echte Passwort machen?

Es wäre ja nicht die volle Länge des Key Hashes für den Passwortcheck in Funktion.