PGP e pagine di contatto di sicurezza

Naviga le tue risposte
4

Ho sentito che i ricercatori di sicurezza suggeriscono che se si esegue un sito Web pubblico, si dovrebbe creare una pagina di "contatto di sicurezza" che includa un indirizzo email di contatto e la chiave pubblica PGP in modo che le persone possano contattarti se scoprono vulnerabilità di sicurezza .
Un esempio di questo è link .

1) Qual è lo scopo previsto di includere la chiave PGP in questa pagina?

2) Come puoi essere sicuro che qualcuno non abbia compromesso il server e abbia inserito la propria chiave PGP?

    
posta Jeremy Smith 04.02.2013 - 19:28
fonte

3 risposte

5

Risposta alla domanda 1:

Non sono sicuro di quale sia la connessione a Ruby on Rails, ma la tua chiave pubblica PGP fornisce ai tuoi utenti (presumendo che utilizzino anche PGP) con due cose:

  1. Un mezzo per verificare le e-mail che ricevono da te, che includono la tua firma PGP.
  2. Un mezzo per inviare e-mail all'utente, utilizzando la crittografia PGP.

Tuttavia, entrambi i precedenti non offrono molte garanzie a meno che gli utenti finali possano verificare che la chiave pubblica PGP pubblicata sul tuo sito sia effettivamente yours .

Tangentially related: Does hashing a file from an unsigned website give a false sense of security?

Certamente, gli utenti potrebbero usare quella Chiave pubblica per uno degli scopi menzionati sopra. Tuttavia, senza l'autenticazione della chiave stessa, non possono sapere per sicuro che le e-mail ricevute vengono inviate da te o che le e-mail che inviano non vengono effettivamente decodificate e lette da qualcun altro .

Risposta alla domanda 2:

Questo può essere fatto da uno o una combinazione di due mezzi:

  1. Implementa SSL sul sito che ospita la tua chiave pubblica PGP.
    • (Non abbastanza valido per il tuo scenario di attacco - vedi commenti.)
  2. Ottieni la tua chiave firmata da altri utenti PGP (Nota, questo è utenti - plurale - più è meglio.), in modo che si unisca e possa essere verificato con un Web of Trust .
risposta data 04.02.2013 - 22:33
fonte
3

L'unica ipotesi che potrei fare è che potrebbero volere una chiave pubblica PGP in modo che possano rivelare la vulnerabilità senza temere che venga divulgata a un utente malintenzionato. Se un utente malintenzionato ha già compromesso il tuo sito, avere l'hacker di accedere alla sua e-mail non sarebbe molto importante. Sembra comunque una raccomandazione bizzarra, dato che le informazioni WHOIS per il dominio dovrebbero già far sapere loro chi contattare e ci sono buone probabilità che anche se ci vorranno un paio di giorni, non sarà un problema critico poiché è improbabile che un il ricercatore incapperà immediatamente nel problema.

    
risposta data 04.02.2013 - 19:48
fonte
3

Una chiave PGP, di per sé, non ti dà alcuna garanzia. Non ci si può fidare di una chiave PGP in virtù della sua pubblicazione su un sito Web, poiché potrebbe essere modificata durante il transito o anche direttamente sul sito stesso, nel caso in cui tale sito venga dirottato (e ciò sfortunatamente accade). Ciò che (in teoria) dà garanzie che un PGP è genuino e realmente posseduto dalla persona il cui nome è nella chiave è Web of Trust .

In pratica, non puoi sapere se la chiave è davvero la chiave sysadmin, ma, almeno, PGP protegge contro l'intercettazione passiva. Inoltre, la presenza di una chiave PGP mostra che il sysadmin, a un certo livello, si prende cura . Questo è lo scopo principale di includere una chiave PGP nella pagina "contatto di sicurezza": a (provare a) esibire un livello base di competenza e savviness. È una dichiarazione di moda.

    
risposta data 04.02.2013 - 21:26
fonte

Leggi altre domande sui tag

È necessario analizzare i caricamenti di file degli utenti tramite antivirus? I file cancellati da un vero volume criptato possono essere recuperati?