La memorizzazione della crittografia delle password con GnuPG su un server FTP anonimo è sicura?

Naviga le tue risposte
2

Vorrei qualche consiglio su un metodo per memorizzare le password in un database sul mio server FTP anonimo.

Fondamentalmente ho i dati di accesso per alcuni utenti fidati a un server di database archiviato in un file di testo crittografato con GnuPG. Con la sua crittografia, presumo che l'accesso pubblico non influenzi la sicurezza poiché l'impostazione della crittografia renderebbe inutile la tentazione e la decrittografia di chiunque.

C'è un modo in cui chiunque può accedere alle password memorizzate nel file di testo senza le autorizzazioni che ho impostato in GnuPG? Sono comunque presenti dati che potrebbero essere trapelati nel mio setup che lo darebbero a qualcuno senza la chiave privata?

Penso che dovrebbe andare bene, ma c'è qualcosa che non vedo?

    
posta Elliott Smelliott 01.05.2016 - 12:43
fonte

1 risposta

2

Rischi di esposizione di informazioni crittografate

With it being encrypted I assume having it publicly accessed wouldn't affect security as the encryption setup would make it pointless for anyone to try and decrypt it.

Le informazioni crittografate rimarranno private finché

  • la crittografia funziona (non si riscontrano difetti nei principi matematici sottostanti),
  • funziona il software di crittografia (GnuPG) (nessun bug nell'implementazione degli algoritmi crittografici) e
  • non si commettono errori (ad esempio caricando la versione non crittografata per errore o rivelando altrimenti la passphrase / chiave).

Tieni presente che un utente malintenzionato che archivia i file potrebbe essere in grado di decrittografarlo correttamente in futuro se si verifica uno di questi incidenti!

In caso di scambio di messaggi attraverso un canale non sicuro, è possibile (avere) accettare tali rischi. Non li accetterei pubblicando file crittografati se potessi mitigare attraverso ulteriori restrizioni di accesso.

Is there any way that anyone could gain access to the passwords stored in the text file without the permissions I have set in GnuPG? Is there anyway data could be leaked in my setup that would give it to someone without the private key?

Per concludere: mentre la crittografia è sicura in linea di principio (e almeno non esistono vulnerabilità note), le cose potrebbero cambiare in futuro. La pubblicazione di contenuti non manterrà la sicurezza. La divulgazione accidentale di contenuto crittografato è probabilmente il più grande rischio (e tutti, tra cui "il migliore" potrebbe commettere un errore in un determinato momento), mentre le restrizioni di accesso dovrebbero almeno aggiungere un'altra rete di sicurezza.

Metadata

Is there anyway data could be leaked in my setup that would give it to someone without the private key?

C'è un altro punto a questa domanda: essere consapevoli del fatto che diversi metadati sono condivisi pubblicamente, il che potrebbe essere critico o non essere. Quando si modificano i file, le loro dimensioni e se li si archivia anche il nome. È possibile attenuare alcuni di questi (ad esempio, la dimensione del file di overprovision per nascondere le modifiche alle dimensioni e non memorizzare il nome del file); ma soprattutto non puoi nascondere le modifiche ai file (anche se memorizzi timbri falsi, un utente malintenzionato potrebbe semplicemente recuperarlo a intervalli e controllare le modifiche), l'unica opzione che vedo è fornire modifiche "simulate" di tanto in tanto.

    
risposta data 01.05.2016 - 13:32
fonte

Leggi altre domande sui tag

Il file dei criteri dei domini incrociati è richiesto da OGNI applicazione web? Perché qualcuno dovrebbe caricare molti file iptables durante una violazione della sicurezza e sono motivo di preoccupazione?