Ci sono problemi con il riutilizzo di password complesse per le chiavi private gpg

4

Attualmente sto mantenendo alcune identità diverse associate a diverse chiavi gpg (per corrispondenza personale, accademica, professionale ecc., anche se questa è una buona idea è probabilmente una questione per un'altra domanda). Per comodità, vorrei usare la stessa (strong) password su questi tre tasti. Penso che questo sia OK per i seguenti motivi:

  1. Queste chiavi sono tutte sottochiavi di chiavi principali che vengono mantenute offline in un luogo sicuro. Possono essere revocati rapidamente se necessario.

  2. Tutte queste sottochiavi sono archiviate insieme (ho bisogno di tutte su tutti i miei dispositivi). Di conseguenza, se uno è compromesso, tutti vengono compromessi e io li revocano tutti (e uso una password diversa per la prossima generazione di chiavi).

Detto questo non sono esperto. L'illuminazione in un modo o nell'altro sarebbe molto apprezzata.

Modifica:

Il riutilizzo della password OK ha alcune ovvie implicazioni. Ad esempio, se uno è compromesso, sono tutti compromessi. Secondo i commenti, sarebbe più interessante vedere se ci sono implicazioni non intuitive. Ad esempio: la password è più facile da decifrare se ci sono 3 tasti usando vs solo uno.

    
posta maxf130 22.05.2016 - 22:46
fonte

1 risposta

1

Generalmente, in termini di sicurezza, riutilizzare le password non è una buona idea.

Ricorda che la revoca non è l'unico problema se ti viene compromesso. Un utente malintenzionato con accesso ai tuoi messaggi crittografati in precedenza, avendo la chiave e la password, sarà in grado di decrittografarli. Quindi, avere password diverse rende più difficile il lavoro dell'aggressore.

Inoltre, effettuare questa configurazione (mantenendo le chiavi nelle stesse macchine) non è necessariamente una buona idea. Se puoi evitare di avere una delle tue chiavi in una macchina, fallo. Rendi il tuo attacco più piccolo possibile.

    
risposta data 23.05.2016 - 07:00
fonte

Leggi altre domande sui tag