La passphrase PGP è utilizzata per decrittografare una chiave privata crittografata o necessaria in combinazione con la chiave privata per decodificare il messaggio?

7

Se il primo, se la chiave privata può essere utilizzata per firmare i messaggi in modo digitale, perché il tuo client non offre di crittografare questo dato altamente sensibile?

Se quest'ultimo, quindi, se qualcuno avesse accesso solo alla tua chiave privata, sarebbe in grado di decifrare tutti i tuoi messaggi?

Grazie in anticipo, non sono stato in grado di trovare una risposta chiara.

    
posta Mike Gallagher 28.04.2012 - 14:35
fonte

2 risposte

2

Alla fine, è il tuo quesiton: "Dovrei crittografare la mia chiave privata quando la invierò a me stessa o effettuerò il backup su cloud storage, o in qualche altro posto?"

Quindi la risposta è sì - crittografa assolutamente la tua chiave privata PGP prima di "eseguirne il backup" in qualche posto, (crittografa anche i certificati di revoca pre-generati).

Un esempio per creare un file .gpg di Armor ASCII crittografato, da un file .asc di chiave privata:

gpg --symmetric --cipher-algo=AES256 -a -o 20141022.PGP.66H049E4.prv.gpg 20141022.PGP.66H049E4.prv.asc 

Utilizza un'utilità di cancellazione come, "shred," per eliminare il file chiave .asc originale, altrimenti non può essere eliminato.

La chiave privata è inutilizzabile senza la password. Tuttavia , quella password è un lotto intero più facile da decifrare rispetto alla chiave privata stessa.

Ci sono un paio di alberi di attacco impiegati per sfruttare le chiavi private non crittografate / non protette:

  1. Attacco brute force: quando cerchi di "crackare" un'e-mail crittografata con PGP, non proviamo a forzare bruscamente quale sia la chiave PGP, specialmente se abbiamo una copia della chiave privata a portata di mano. a.) Invece, ciò che facciamo è sottoporre la Chiave privata, a sua volta, a un attacco di forza bruta, per ottenere la password. b.) con tale password, usiamo quindi la chiave privata, per decrittografare i messaggi: un albero di attacco molto più efficiente.
  2. Impersonificazione, molestie: una chiave privata non crittografata può essere "importata" in un archivio PGP, (GPG, Kleopatra, Windows, ecc. a.) Questo crea l'aspetto che una determinata persona ha usato un dispositivo specifico. In Forensic Information Investigation, una chiave privata su un dispositivo caricato su una macchina è una prova piuttosto convincente, ma non dispositiva, che una persona ha usato un dispositivo; Inoltre, b.) le chiavi pubbliche possono essere esportate, senza la password, (ma le chiavi di revoca non possono). Alla fine, puoi simulare con successo un "ingombro" di un utente su un particolare sistema, derubare e-mail da essi con una chiave pubblica allegata, ecc.

Utilizzare una password chiave privata strong è la migliore pratica e ostacolerà gli attacchi intensi di forza bruta.

    
risposta data 23.10.2014 - 15:09
fonte
5

Il primo. La tua chiave privata PGP è archiviata sul tuo disco in forma crittografata. In particolare, è crittografato usando la tua passphrase.

Per decodificare un file, PGP richiede (1) la passphrase e (2) il file di chiave privata crittografato; da questi può ricostituire la tua chiave privata e quindi decifrare il file. Nessuno dei due è sufficiente per utilizzare un file di chiave privata crittografato.

Per rispondere alla tua domanda, il tuo client crittografa la tua chiave privata. È memorizzato sul tuo disco in forma crittografata.

(presumo che tu stia utilizzando la crittografia a chiave pubblica, non la crittografia convenzionale.)

    
risposta data 29.04.2012 - 02:18
fonte