Se cambio la mia passphrase PGP della chiave privata, la vecchia chiave privata + la vecchia passphrase funzionerà per decrittografare i dati già cifrati?

3

Supponiamo che io abbia uno script che contenga la mia chiave privata PGP in testo semplice e mi imponga di digitare manualmente la passphrase della chiave per decodificare alcuni dati. Più tardi, decido che la mia passphrase è compromessa e uso gpg per cambiare la passphrase. Qualcuno che ha la mia vecchia chiave privata PGP e catturato in qualche modo la mia vecchia passphrase può ancora decifrare i dati?

In altre parole, sto pensando che se la modifica della passphrase regolarmente farebbe del bene in termini di protezione dei dati o meno. Per quanto ho capito, la modifica della passphrase della chiave privata PGP ha effetto solo sulla chiave privata e la chiave pubblica non viene modificata. Questo mi porta a pensare che se qualcuno è in possesso della mia vecchia chiave privata PGP e della vecchia passphrase, potrebbe comunque essere in grado di decrittografare i messaggi, anche dopo aver modificato la mia passphrase.

Spero che abbia un senso :) Grazie

    
posta Martin 20.03.2014 - 16:03
fonte

2 risposte

4

Hai ragione: la passphrase protegge la chiave, quindi se entrambi sono stati divulgati, l'utente malintenzionato può decodificare tutti i messaggi intercettati in precedenza e tutti i messaggi futuri che utilizzano la stessa chiave.

Ricorda che l'autore dell'attacco ha una copia della chiave con la vecchia passphrase nella sua posizione - la modifica della passphrase sulla copia della chiave non influisce sulla sua copia. Anche una modifica della passphrase non influisce sulla chiave stessa, quindi eventuali compromissioni della chiave sono permanenti.

Quindi se sospetti che una chiave + passphrase sia stata trapelata, revocala immediatamente e genera una nuova chiave.

    
risposta data 20.03.2014 - 16:25
fonte
0

Would someone that has my old PGP private key and captured somehow my old passphrase be still able to decrypt data?

Sì, sicuramente. Questo è lo scenario peggiore e assolutamente non vuoi che ciò accada, perché dovresti revocare la tua chiave e crearne una nuova, che deve essere ridistribuita.

    
risposta data 20.03.2014 - 16:28
fonte

Leggi altre domande sui tag