Alla fine devo tenere una chiave in testa?

In termini umani, questa "chiave finale" assume spesso la forma di una password. La password viene utilizzata per accedere al luogo in cui è memorizzata la "chiave reale".

Nel mondo della sicurezza informatica, utilizziamo algoritmi crittografici per eseguire le operazioni di sicurezza. Ma alcuni di questi algoritmi non possono semplicemente usare le password come chiavi, perché richiedono numeri grandi specializzati per far funzionare la matematica. Dal momento che noi umani non siamo in genere in grado di ricordare chiavi crittografiche a 256 cifre, dobbiamo usare dispositivi di archiviazione per tenerle. E poiché non vogliamo che chiunque abbia accesso a quel dispositivo di archiviazione per avere una copia delle chiavi, di solito proteggiamo queste chiavi segrete crittografandole.

Ma ora torniamo allo stesso problema: in che modo crittografiamo queste chiavi segrete se non riusciamo a ricordare una chiave? Invece di ricordare una chiave, ricordiamo una password e usiamo un algoritmo chiamato Key Derivation Function per trasformare la nostra password in una chiave crittografica. Questa chiave viene quindi utilizzata per decodificare l'effettiva chiave segreta necessaria per accedere ai dati riservati.

Nel mondo fisico, questo è simile al mettere le chiavi della macchina in una cassastrong. Dovresti conoscere la combinazione della cassastrong per ottenere le chiavi della macchina, la serratura a combinazione trasforma la combinazione (la tua password) in posizione meccanica di spille e dischi (la manifestazione fisica della chiave richiesta per lanciare il bullone) allora potresti aprire la cassastrong e prendere le chiavi della macchina. Una volta che hai le chiavi della macchina, puoi sbloccare l'auto e andare via.

E per chiavi di sicurezza molto elevate, come le chiavi master per una rete di carte di debito, o le chiavi del certificato di root per un'autorità di certificazione, non è raro tenere le chiavi o una password stampate su un pezzo di carta e bloccate in una cassastrong. Solo il proprietario dei dati conosce la combinazione. Un'altra scelta con la crittografia è quella di dividere la chiave in tre o più parti, richiedendo a tre persone di riunirsi per riassemblare la chiave.

La risposta è "no", in definitiva non devi ricordare qualcosa nella tua testa.

L'autenticazione si riduce a queste scelte:

• Qualcosa che conosci (password, passphrase, identificazione dell'immagine, modello di scorrimento, ...)
• Qualcosa che hai (una chiave, un generatore di numeri sincronizzati, un codice stampato, ...)
• Qualcosa che sei (impronta digitale, scansione retina, geometria della mano, riconoscimento facciale, ...)

Oppure puoi utilizzare una combinazione di questi, ad esempio l'autenticazione a più fattori. (Ne vediamo di più oggi rispetto a dieci anni fa e dovremmo accettarlo.)

No, alla fine non devi tenere una chiave in testa, e nemmeno Ladar Levison. Infatti, molti ricercatori di sicurezza raccomandano che le persone utilizzino frasi passate che sono troppo complicate da memorizzare, scrivono le frasi di passaggio in basso carta e conservali in un portafoglio o in un'altra posizione sicura. Bruce Schneier ; Jesper Johansson ; Rick Smith ; Jianxin Yan, Ross Anderson ; Arnold G. Reinhold ; ecc.

Sembra che tu abbia una buona comprensione del resto del processo:

Sì, molti (la maggior parte?) computer memorizzano chiavi segrete e chiavi private in forma crittografata. (spesso usando un "portachiavi").

Sì, la chiave per decifrare quelle altre chiavi segrete deriva di solito (*) da una passphrase che un umano può ricordare per un minuto o così, abbastanza a lungo da leggere dalla carta e digitare.

Sì, è possibile che Ladar Levison abbia memorizzato la passphrase, ma non è necessario.

(*) utilizzando una funzione di derivazione della chiave .