È sicuro memorizzare dati crittografati GPG pubblicamente, ad es. su GitHub?

Question

È sicuro memorizzare dati crittografati GPG pubblicamente, ad es. su GitHub?

#1 da (3 voti)
#2 da (0 voti)

4

Ho imparato alcune nozioni di base sulla sicurezza delle informazioni e sulla crittografia GPG ed è super affascinante. Volevo capire le vulnerabilità dietro un'idea che avevo.

Dopo aver creato la nostra coppia di chiavi pubblica e privata con GPG, è normale e noto che è possibile pubblicare online la chiave pubblica e le impronte digitali.

La mia domanda ruota intorno a me per memorizzare dati personali crittografati online, ad es. nel mio repository GitHub. Presumo che andrà tutto bene, ma volevo verificare con la community dato che sono abbastanza nuovo su questo argomento.

Supponiamo di avere un file di dati che ho crittografato con GPG utilizzando la mia chiave pubblica. Ora pubblico il file su GitHub dove può essere visualizzato pubblicamente. Presumo che questo dovrebbe essere sicuro perché nessuno tranne me può decifrare queste informazioni con la mia chiave privata personale. È un'assunzione sicura o mi manca qualcosa di critico qui?

github encryption gnupg

posta ggoober 16.09.2018 - 23:09

fonte

2 risposte

Leggi altre domande sui tag github encryption gnupg

È sicuro caricare un volume crittografato di sola lettura in una cartella cloud? Apache TLS con solo ECDHE-RSA-AES128-GCM-SHA256 abilitato

score 3 · Answer 1

In genere sottoscrivo l'idea che la crittografia abbia una data di scadenza. Quindi, supponendo che tu segua le best practice per la lunghezza della chiave e la selezione dei codici, le migliori pratiche assumono generalmente un orizzonte di sicurezza di circa 30 anni.

Quindi se dopo 30 anni questi dati sarebbero comunque informazioni sensibili ... allora dovresti selezionare lunghezze e cifrature più forti del normale (ad esempio, guardare la crittografia post-quantistica) o considerare altri modi per ridurre il rischio di esposizione. Ad esempio, non pubblicare i contenuti pubblicamente su GitHub. Ma tieni presente che le indicazioni trentennali fornite da organizzazioni come il NIST per impostare le pratiche del settore si basano sui tassi storici di abbandono della crittografia. Se un nuovo exploit rende un codice non sicuro, i tuoi dati potrebbero essere letti da un utente malintenzionato in un tempo molto più breve.

Ma se il contenuto è sensibile solo per un breve periodo di tempo - come una chiave API facile da revocare e cambiare, o ha una data di scadenza - allora probabilmente stai bene postare i dati crittografati con una certa sicurezza che nessuno sarà in grado di leggere il contenuto.

score 0 · Answer 2

Supponendo che tu faccia tutto correttamente, chiavi forti, nessun riutilizzo delle chiavi, protezione delle chiavi, crittografia strong, allora sì è sicuro.

Tuttavia, dato lo scenario di utilizzo, dovresti prendere in considerazione la crittografia a chiave simmetrica.

Il punto di crittografia a chiave pubblica è di fornire la possibilità di crittografare e decrittografare da entità diverse. Nello scenario dichiarato, non ha senso avere le chiavi pubbliche e private poiché sei l'unico utente. Una singola chiave simmetrica è tutto ciò di cui hai bisogno e la puoi proteggere come una chiave privata.

Il modo in cui la crittografia a chiave pubblica funziona è che il tuo file è effettivamente crittografato con una chiave simmetrica generata casualmente. Solo questa chiave simmetrica è crittografata dalla crittografia a chiave pubblica perché è computazionalmente costosa. La decifratura della chiave pubblica decodifica solo la chiave simmetrica per la successiva decrittografia simmetrica. Se sei l'unico utente, la crittografia a chiave pubblica aggiunge solo un sovraccarico e una potenziale confusione senza ulteriori vantaggi.