Come posso condividere una password in modo conforme a FIPS?

2

Questa è una domanda molto semplice, ma sono un principiante in sicurezza. Quello che mi chiedo è: come posso condividere una password per un documento crittografato in un modo conforme a FIPS 140-2? Cioè, dire che ho un PDF, DocumentA, crittografato con AES-128 usando una password. Voglio condividere DocumentA con Bob, via e-mail. Invio per e-mail Bob DocumentA - ora come faccio a dargli la password?

Questa è una situazione che si presenterebbe abbastanza frequentemente, quindi chiamare a dargli verbalmente la password ogni volta non sarebbe conveniente. Ovviamente includere la password nell'e-mail stessa è una pessima idea e vanifica lo scopo della crittografia.

Ho letto la documentazione FIPS di NIST ( qui ), e allegati annessi AD (disponibili allo stesso link) e non sono stati in grado di trovare alcuna informazione su questa parte piuttosto cruciale.

Qualcuno può indicarmi la documentazione che lo afferma? Grazie mille.

    
posta Eliza Bennet 27.03.2018 - 15:59
fonte

1 risposta

1

Devi MAI inviare una password tramite e-mail o in modo simile. Puoi risolvere il problema utilizzando Crittografia a chiave pubblica ( o crittografia asimmetrica ). Non entrerò nel dettaglio di come funziona, ma l'idea di base è che tutti hanno un paio di chiavi, un pubblico ( che dovrebbe essere pubblico ) e un privato uno ( che dovrebbe essere mantenuto segreto ). La chiave pubblica viene utilizzata per crittografare i messaggi e la chiave privata per decrittografare i messaggi.

Adesempio,seBobvuoleinviare"info.pdf" ad Alice, lo cripterà con la chiave pubblica di Alice, che è nota, e solo la chiave privata di Alice può essere utilizzata per la decrittazione ( solo Alice conosce la chiave privata ). Questo ovviamente è un esempio molto minimale e la crittografia a chiave pubblica è un argomento enorme, quindi dovresti assolutamente fare la tua ricerca sull'argomento.

Ora ci sono molti modi semplici che puoi usare per crittografare le tue e-mail, i file, ecc ... Ad esempio PGP è uno degli standard più popolari da utilizzare per la crittografia e-mail che utilizza crittografia a chiave simmetrica per crittografare i dati e crittografia a chiave pubblica a crittografare la chiave utilizzata per crittografare i dati. Quindi il ricevitore utilizza la sua chiave privata per decifrare la chiave crittografata, e quindi usa la chiave decrittografata per decrittografare i dati. Quindi PGP utilizza sia la crittografia a chiave simmetrica che crittografia a chiave pubblica .

    
risposta data 27.03.2018 - 16:49
fonte

Leggi altre domande sui tag