Seeding GPG keygen con un hash segreto [duplicato]

Naviga le tue risposte
2

Mi stavo chiedendo se voi potreste identificarmi in potenziali problemi con l'utilizzo di una password con hash come seme per il generatore di chiavi di GPG. Per quanto riguarda perché qualcuno vorrebbe mai farlo, posso vedere due vantaggi:

  1. L'uso di una password memorizzabile umana elimina la necessità di archiviare la chiave su disco, proteggendoti dal furto di identità in caso di furto di dati.
  2. Poiché la memoria dell'utente contiene tutto il necessario per rigenerare la chiave, non è necessario preoccuparsi della perdita di dati [elettronici]. La demenza si applica ancora.

Come Stephen ha sottolineato, la ragione 1 è debole perché anche le chiavi RSA protette da password hanno quel vantaggio. E la RAM sarebbe ancora vulnerabile, ma questo è molto più difficile da ottenere anche l'accesso, giusto? Ma supponendo che le persone non siano brave nel backup (non lo sono) e la ragione 2 è valida, ci sono potenziali problemi sistemici nell'usare un hash come seme RNG?

    
posta Calder 20.10.2012 - 04:54
fonte

1 risposta

0

Le password digerite hanno solo l'entropia della password passata alla funzione di hashing. GPG utilizza fonti crittografiche di numeri casuali per generare la chiave privata e la crittografa con la password dell'utente. Ciò garantisce che gli algoritmi di crittografia possano utilizzare una chiave con entropia massima, ma impedisce anche che la chiave dell'utente venga compromessa in caso di furto di dati.

È il meglio di entrambi i mondi, davvero.

    
risposta data 20.10.2012 - 06:46
fonte

Leggi altre domande sui tag

Come faccio a capire come il malware ha infettato il mio server e i siti successivi sul server? Utilizzo di GPG o PGP per la crittografia / decodifica di database simmetrici in c #