Sicurezza dell'archiviazione online di file simili a KeePass

Naviga le tue risposte
4

Un consiglio comune per archiviare le password è archiviarle in un file crittografato, ad esempio utilizzando un software dedicato come KeePass2. Per mantenere questo file sincronizzato tra più computer, il consiglio è che il file viene inserito in una memoria online come Dropbox. Ho visto questa soluzione proposta molte volte come alternativa all'utilizzo di plug-in del browser come LastPass - e forse è davvero una soluzione superiore.

In questo scenario, penso, lo storage online di per sé non è considerato sicuro - si suppone che sia hackerabile o che stia ascoltando attivamente.

Tuttavia, da quanto ho capito da alcune risposte lette qui, non è sicuro crittografare più file con la stessa chiave. E, naturalmente, un file contenente password viene considerato regolarmente aggiornato.

Quindi la mia domanda è, dovremmo considerare che avere accesso a una (grande) cronologia di un file crittografato quando questo file è crittografato con la stessa chiave è un difetto di sicurezza? È una regola generale o ci sono algoritmi di crittografia per i quali questo non è un problema? Cosa ne pensi di KeePass (2) in modo più specifico e cosa pensare dei consigli sopra riportati sulla memorizzazione online dei file kdbx?

    
posta P-Gn 16.06.2015 - 22:10
fonte

1 risposta

4

it is not safe to encrypt several files with the same key

Questa affermazione non è completamente vera.
Non è certo una buona pratica crittografare molti file usando la stessa chiave (dati), ma è comunque assolutamente accettabile, dato che i cifrari moderni resistono agli attacchi anche se vengono fornite quantità gigantesche di dati crittografati con la stessa chiave (intere unità non sono abbastanza).
Quello che può sbagliare con la crittografia di più file con lo stesso dato è di riutilizzare l'IV, che in effetti porterà a gravi attacchi.

So my question is, should we consider that having access to a (large) history of an encrypted file when this file is encrypted with the same key is a security flaw?

No.
Se la tua password è abbastanza strong, KeePass fa un ottimo lavoro nel proteggere il database. Il suddetto difetto IV viene mitigato da KeePas semplicemente rinnovando l'IV ogni volta che il database viene salvato. Quindi le password sono sicure, non importa quante versioni siano disponibili.
In generale: il riutilizzo delle chiavi è solo un problema se pensi di poter perdere la chiave. Il riutilizzo IV è molto peggiore ma può facilmente essere mitigato, cosa che spesso viene eseguita.

Is this a general rule or are there encryption algorithms for which this is not that a problem?

Questa è una regola generale (che i codici sono immuni da tali attacchi), che viene violato solo da veramente codici errati, che possono essere attaccati avendo abbastanza testo in chiaro (ad esempio, guarda FEAL) .

What about KeePass(2) more specifically and what to think about the advice above about online storage of kdbx files?

Per quanto ne so, KeePass è davvero sicuro e protegge efficacemente il database. La memorizzazione dei file kdbx online non è un rischio per la sicurezza, in quanto la password protegge il database e impedisce di perdere effettivamente il database.

    
risposta data 16.06.2015 - 22:26
fonte

Leggi altre domande sui tag

Radar dei browser CA accettata, paesi e controllo delle impronte digitali E 'possibile che un MITM SSH attaccha solo se la chiave non si trova in known_hosts?