Una chiave PGP segreta è considerata compromessa se raggiunge la rete?

Naviga le tue risposte
3

Ho iniziato a decodificare il sistema ProtonMail un po 'e ho notato che ProtonMail mantiene tutte le chiavi private armate ASCII nella loro semplice forma di testo sui loro server, e l'unica cosa che le protegge è la protezione passphrase integrata OpenPGP standard definita.

Maggiori informazioni qui .

Ora, ProtonMail afferma di mantenere la chiave crittografata sui loro server, ma in base allo sniffing del traffico di rete, sono stato in grado di recuperare la mia chiave segreta che il server restituisce in testo semplice e sono stato in grado di importalo in GnuPG.

Una chiave segreta PGP viene considerata compromessa se raggiunge Internet non crittografato, protetto da ASCII, passphrase protetto?

    
posta Gala 26.03.2017 - 21:32
fonte

1 risposta

1

Ecco una presa diversa: Tutta la crittografia nel mondo non importa se la password è forzata brute.

Dovresti assumere che la chiave sia compromessa se il tempo trascorso dal momento in cui è stato reso disponibile è più lungo del tempo possibile per decifrare la password.

Anche se crea solo un limite superiore alla sua sicurezza, eventuali punti deboli nella password e nell'implementazione della crittografia ridurranno il tempo necessario per scendere a compromessi.

In breve - si supponga che sia compromesso; quindi decidi cosa significa per te. Se è solo che qualcuno potrebbe leggere e-mail piene di pettegolezzi, probabilmente non è un problema. Se viene utilizzato per proteggere informazioni legalmente protette, revocare le chiavi, generarne di nuove (con nuova password) e ricostruire i trust.

Sfortunatamente PGP non offre la segretezza, quindi qualsiasi e-mail storica cifrata con quelle chiavi rilasciate ha l'eternità per essere forzata; che i dati non sono più privati.

    
risposta data 10.01.2018 - 00:15
fonte

Leggi altre domande sui tag

XSS fasullo nella barra di ricerca [chiuso] L'attacco della logica aziendale dovrebbe essere uno dei metodi di test durante il pentesting o il progetto di valutazione della vulnerabilità?