Quanto è sicura la crittografia end-to-end utilizzando la password dell'utente?

Naviga le tue risposte
2

Quando viene utilizzata la crittografia simmetrica, di solito viene generata almeno una chiave a 256 bit. Ciò corrisponde a 32 byte - > 32 caratteri (che è abbastanza generoso, dato che la maggior parte degli utenti non userà mai più di ~ 70 dei caratteri più comuni dei 256 in ASCII).

Quanto sono sicuri quindi i servizi come Pushbullet che utilizzano la password per la crittografia? Anche se non rubano la tua password dal client, non dovrebbe essere abbastanza facile forzare la chiave sul server se necessario?

    
posta user2486570 24.12.2016 - 18:54
fonte

1 risposta

1

Sì, è più debole e presenta rischi maggiori

Se un servizio in background utilizza la password come chiave di crittografia, significa che hanno un accesso on demand alla tua password. Questo è un rischio maggiore (lo hai menzionato anche tu). Non è raro che le persone abbiano la stessa password su vari servizi. Pushbullet in realtà non lo fa. Deriva una chiave quando inserisci la tua password e usa quella chiave per la sua crittografia.

Se un sistema utilizza una stringa generata dall'utente come chiave per il suo schema di crittografia simmetrica, allora sarebbe probabilmente una chiave più piccola rispetto a una chiave casuale a 256 bit. Non solo i tasti più piccoli hanno uno spazio di ricerca più piccolo per la forza bruta, ma i tasti generati dall'utente sono anche suscettibili di altri modi di attacco, come predire la modifica o la stessa chiave di qualche chiave trapelata.

    
risposta data 24.12.2016 - 19:17
fonte

Leggi altre domande sui tag

Posso ripristinare la chiave privata gpg dai dati grezzi a enigmail? traffico SPAN per "Internet ad est FW"