Quali sono le vulnerabilità del riutilizzo delle password per la generazione di chiavi e file crittografati?

Naviga le tue risposte
2

Il motivo principale per cui non è consigliabile riutilizzare una password per account diversi è che se la password è compromessa, tutti gli account sono compromessi.

Questa domanda riguarda le vulnerabilità oltre a quella.

Ad esempio potresti voler generare due diverse chiavi PGP, una per la firma, una per la crittografia, che hai generato tramite processi separati ma usando la stessa password molto strong.

Se un avversario ha sia le chiavi pubbliche che alcuni messaggi crittografati con loro, è più probabile che violi le chiavi perché entrambi sono stati generati da una singola password? Se sì perché? Se sì, più chiavi generate con la stessa password più vulnerabili sono i tasti?

L'esempio era PGP, ma la domanda si generalizza a qualsiasi altra situazione in cui la stessa password viene riutilizzata, in istanze separate - per generare chiavi, o volumi crittografati o file crittografati - che sono resi pubblici.

La mia ipotesi è che la ripetizione di una password potrebbe generare una sorta di regolarità osservabile nelle chiavi o nei file. Tuttavia, c'è sempre il momento di muovere il mouse a caso per generare quello che vuoi, e se i file e le chiavi vengono generati da diverse istanze di movimenti casuali del mouse non è questo ciò che conta? Non ne sono sicuro.

    
posta Strapakowsky 31.05.2013 - 04:11
fonte

2 risposte

1

Se hai usato una buona crittografia, ripetere la stessa password non farà differenza.

per schemi asimmetrici

Genera una coppia di chiavi: pubblica e privata. La sua generazione si basa su molti elementi e la tua password non è inclusa tra loro.

Quindi la tua chiave privata è lì, non protetta, quindi chiunque potrebbe avere accesso al tuo computer potrebbe ottenerlo e tutta la segretezza è sparita. Quindi è bene proteggerlo: allora la tua password è usata, per crittografarla. In generale, la chiave privata è come un mucchio di byte casuali e non è possibile attaccare sapendo che due chiavi private sono state protette utilizzando la stessa password.

per schemi simmetrici

In algoritmi di crittografia validi, sulla tua password vengono utilizzate così tante azioni che persino conoscere due documenti, generati con la stessa password e sapere come sarebbe il documento originale, non sarà di grande aiuto per l'aggressore.

    
risposta data 06.06.2013 - 15:32
fonte
1

La password (passphrase) menzionata è usata per cifrare simmetricamente la tua chiave privata asimmetrica. Usi la chiave privata (non la tua password) per decifrare / firmare i tuoi messaggi, questo processo non è influenzato dalla tua password.

Nel caso in cui l'attaccante ottenga tutte le tue chiavi private crittografate, non avrà molte possibilità, anche se in molti casi hai usato la stessa password, i codici moderni sono progettati per prevenire questo e attacchi molto più potenti:

link

    
risposta data 06.06.2013 - 14:35
fonte

Leggi altre domande sui tag

Blocchi di porte FireWire rimovibili Eavesdropping di una comunicazione tra un'applicazione locale e la rete