C'è qualche ragione per cui non dovrei rendere un file crittografato con GPG pubblicamente accessibile?

C'è sempre il rischio che ogni dato cifrario venga spezzato ad un certo punto e dati come questo diventeranno veramente pubblici. Quindi sì, ci sono alcuni rischi ma ciò non significa che non si stia facendo un ragionevole compromesso di sicurezza.

Alcune cose che potresti voler prendere in considerazione:

Qual è il tuo caso peggiore in cui i dati diventano pubblici e ci sono implicazioni che rendono pubblici questi dati di cui potresti non essere a conoscenza?

Ci sono dei fattori basati sul tempo per questi dati, come i dati sono utili solo per un anno, una settimana, ecc.?

Esistono implicazioni normative, legali o etiche che rendono pubblici questi dati?

Puoi aggiungere ulteriori controlli di sicurezza in modo che non sia un solo controllo a proteggere i dati?

Le persone che vuoi condividere questi dati hanno bisogno di TUTTI i dati o potrebbero soddisfare i loro bisogni con un sottoinsieme di dati più piccolo?

Il mascheramento dei dati (sostituzione dei dati sensibili con dati falsi conosciuti) è un'opzione che offre una sicurezza aggiuntiva?

Dove verrà decrittografato e dove verranno memorizzate le chiavi di decrittografia?

La passphrase è facile da decodificare con forza bruta?

etc ... Milioni di altre domande vanno qui.

Nulla è sicuro al 100%, tutto è un compromesso quindi è necessario prima esaminare la decisione da diversi punti di vista.

Generalmente il mio consiglio quando vedo un singolo controllo di sicurezza è di dirti che hai bisogno di livelli aggiuntivi di controlli di sicurezza piuttosto che di uno solo. Quindi dovrei consigliarti di prendere in considerazione ulteriori controlli, ma anche in questo caso non so cosa stai proteggendo e se è solo una raccolta di foto di gatti su Internet, allora forse usare semplicemente GPG è abbastanza buono ... (senza offesa per Ovviamente GPG è un ottimo strumento, ma le foto dei gatti sono ovunque)

Penso che uno dei maggiori rischi sia che qualcuno sostituirà accidentalmente un file crittografato con la sua versione non criptata. Mantenere i file in un luogo privato protegge da questo. Fa parte del concetto di sicurezza multistrato che altri hanno menzionato: quando un livello viene ignorato, se maliziosamente o accidentalmente , hai ancora una certa protezione per coprirti mentre ti rendi conto di cosa è successo.

Non dimenticare mai, la più grande vulnerabilità è (più o meno) sempre le persone.

Se hai fiducia nella crittografia (che dovresti), a seconda dell'implementazione, potresti perdere alcuni tipi di metadati, ad esempio:

• "l'utente A utilizza il servizio", o
• "la configurazione utente B non è stata aggiornata da ..." o
• "un nuovo utente C è stato creato di recente" o
• "L'80% degli utenti si è recentemente ritirato dal servizio".

Supponendo che la crittografia sia implementata correttamente, se le chiavi del membro sono esposte o violate, i tuoi dati sono vulnerabili.

Più persone hai in questa distribuzione, maggiore è il rischio di divulgazione di informazioni.

Controlla anche questo link, Crittografia e il "decadimento del tempo di sicurezza" dei dati crittografati precedenti

No, è una pratica abbastanza accettata per farlo. Una volta crittografato, non c'è davvero alcun danno nell'avere il file crittografato pubblicamente accessibile, assumendo che tu abbia preso tutte le precauzioni standard:

• Non memorizzare le chiavi private nella stessa posizione
• Controlla regolarmente chi ha accesso e rimuovi di conseguenza

Dipende. Si tratta di gestione del rischio.

Inserendo il payload nel pubblico dominio, stai scommettendo contro l'individuazione di difetti nel codice (e / o implementazione), insieme alla tecnologia che avanza sufficientemente per forzare i dati crittografati.

Se i tuoi dati perdono valore nel tempo, i rischi di cui sopra possono essere accettabili rispetto alla convenienza che ottieni, tuttavia è qualcosa che devi valutare.