Perché non dovrei portare un computer a una festa che firma le chiavi?

69

Sto osservando la descrizione dell'evento per la parte che firma la chiave in una prossima conferenza BSD e si dice che non dovrei portare il mio computer all'evento:

Things to bring

  • no computer

Quali sono i rischi che pone un computer in una festa per la firma di chiavi?

    
posta Jules 09.06.2016 - 07:50
fonte

3 risposte

76

Citazione da Wikipedia :

Although PGP keys are generally used with personal computers for Internet-related applications, key signing parties themselves generally do not involve computers, since that would give adversaries increased opportunities for subterfuge. Rather, participants write down a string of letters and numbers, called a public key fingerprint, which represents their key. The fingerprint is created by a cryptographic hash function, which condenses the public key down to a string which is shorter and more manageable. Participants exchange these fingerprints as they verify each other's identification. Then, after the party, they obtain the public keys corresponding to the fingerprints they received and digitally sign them.

un altro da openwest :

If you bring a computer, please keep it in your bag and powered down during the party. This is for security measures to prevent the spread of malicious software, the misplacement of private keys, and damaged or misplaced equipment.

    
risposta data 09.06.2016 - 08:04
fonte
32

In primo luogo, questa affermazione non significa "non portare un computer"; significa "non è necessario portare un computer". È probabile che molte persone che si recano al loro primo key party party presumano che, dal momento che le chiavi sono destinate all'uso sui computer, dovranno portare un computer contenente le loro chiavi, firme o software di crittografia. Quello che succede in realtà è che la verifica delle chiavi avviene tramite impronte digitali senza computer e viene inserita in un database online dopo l'evento dai propri computer dei partecipanti a casa.

In secondo luogo, poiché un computer non viene utilizzato dalla parte che firma la chiave, è generalmente scoraggiato portare un computer a una parte che firma la chiave. Avere computer non necessari in un evento di questo tipo è un grosso rischio per la sicurezza, poiché un partecipante malintenzionato potrebbe utilizzare il computer di un altro partecipante per firmare la propria chiave con la firma dell'altro partecipante, oppure potrebbe anche rubare le chiavi private altrui o distribuire malware. In breve, i computer non sono necessari alle parti che firmano le chiavi e presentarli presenterebbe tutti i rischi per la sicurezza che i computer portano intrinsecamente con loro, il che non è mai una buona idea quando questi computer contengono probabilmente chiavi di crittografia private, quindi la maggior parte dei key signing party Preferisci che i partecipanti scrivano su carta le impronte digitali delle chiavi pubbliche e mantengano le loro chiavi private al sicuro a casa.

    
risposta data 09.06.2016 - 11:02
fonte
7

È una questione di velocità e comodità, per la maggior parte.

Le tue opzioni di base per la firma di una chiave:

  1. Entrambi i partecipanti impostano i loro computer uno accanto all'altro, uno legge l'impronta digitale, l'altro verifica allo stesso tempo, quindi la chiave viene firmata immediatamente.

  2. Un partecipante mostra lo schermo del computer con l'impronta digitale all'altra, che scrive l'impronta digitale.

  3. Il firmatario consegna un piccolo pezzo di carta insieme al suo ID di foto e il firmatario conserva il foglio.

È ovvio vedere che il metodo 3 è molto più veloce degli altri due. Chiedendo alle persone di non portare computer, viene implicitamente richiesto di portare abbastanza copie della propria chiave, o di registrarsi preventivamente in modo da poter distribuire un elenco di impronte digitali (sarà necessario verificare che la chiave nel file sia la propria e leggere un checksum del file all'inizio).

Plug vergognoso: se hai solo caratteri ASCII nel tuo nome, lo script gpg-key2ps potrebbe esserti utile: è sempre una buona idea avere pochi tasti nella tasca.

    
risposta data 09.06.2016 - 19:27
fonte

Leggi altre domande sui tag