Possiamo fidarci di onetimesecret?

1

Alice: ho bisogno del file

Bob: Certo, e voglio prima criptarlo. Per favore inserisci la strong chiave simmetrica PGP con il metodo copia e incolla su link e inviami il link.

Alice. Fatto, l'URL è xxxxxxxx

Bob: Molto divertente, il link è vuoto.

Alice: lo so, era solo un test se posso fidarmi di te ... Ecco quello corretto, xxxxxxxx

Bob: Grazie mille. Hai visto nell'ultimo episodio di Big Brother UK, la scena con il taglio di capelli?

Alice: ho cosa?

Bob: Malika ha usato un clipper in modo constrongvole ...

Alice: Hmm.

Bob: dimenticalo, qui l'allegato e-mail, strongmente crittografato con l'algoritmo AES128. Buon divertimento.

Alice: Grazie anche a te. Prego. Bye

Alice e Bob hanno utilizzato un servizio tra loro per scambiare una password. Il primo sguardo è che hanno fatto tutto bene. Ma devono fidarsi del sito web onetimesecret. Se l'utente malintenzionato possiede il sito Web, conosce anche la chiave simmetrica PGP. Qual è l'alternativa migliore per scambiare una chiave?

    
posta Manuel Rodriguez 27.04.2018 - 06:34
fonte

4 risposte

3

Lo scambio di chiavi avviene di routine senza utilizzare servizi esterni, utilizzando la crittografia. L'algoritmo di scambio di chiavi più popolare è Diffie-Hellman .

Citando Wikipedia:

The Diffie–Hellman key exchange method allows two parties that have no prior knowledge of each other to jointly establish a shared secret key over an insecure channel.

Se usi Diffie-Hellman, non usare la versione anonima, ma la DH fissa o effimera. Vedi questa risposta .

Chiaramente, non pubblicare la tua crittografia per niente reale (cioè al di fuori dello studio individuale). Usa qualcosa come OpenSSL per questo.

    
risposta data 27.04.2018 - 07:49
fonte
1

What is the better alternative to exchange a key?

Meglio in che modo? Sicurezza? Semplicità?

Nel caso della sicurezza, hai diversi metodi di trasmissione delle chiavi.

Ad esempio, dai 10 caratteri al telefono, 10 caratteri al testo, altri ancora tramite onetimesecret, altri ancora attraverso un altro sito Web (ad esempio, link ).

In questo modo, anche se uno dei siti / metodi di trasmissione non è affidabile, non hanno la chiave completa, ma solo una piccola parte di essa.

Ovviamente, invece del testo normale, puoi anche crittografarlo prima con la chiave pubblica di Alice. Se lo desideri, puoi anche fornire a un'inutile (o non abbastanza) informazioni per Alice per trovare facilmente la chiave giusta.

Ad esempio, dai ad Alice "ABC", "123", "! @ #" e "XYZ" attraverso diversi metodi di trasmissione quando il tasto completo è "XYZ123ABC" ("! @ #" non usato).

Cioè, fai in modo che Alice permuta tutti i pezzi dati.

    
risposta data 27.04.2018 - 07:24
fonte
1

Non mi fiderei di una terza parte per l'archiviazione dei segreti, tuttavia mi piace la comodità di poter condividere tramite un collegamento URL.

Per cercare di ottenere il meglio da entrambi i mondi, ho scritto autodistruzione-o ( link ).

È simile nel concetto a onetimesecret ma con alcuni vantaggi:

  • È banale eseguire la tua istanza, codice e istruzioni qui: link
  • Nessun server richiesto! (anche se è necessario un account Amazon AWS). Il back-end può essere eseguito nel livello gratuito!
  • Quando fornisce una passphrase per il segreto, ricava una chiave di crittografia dalla passphrase e quindi crittografa il valore utilizzando AES-256 in modalità CBC nel browser prima di inviarlo al servizio di back-end.

Puoi inviare via email il link e condividere la passphase su un secondo canale (es .: telefono, sms) e puoi essere certo che nessuno possa intercettare il segreto.

Maggiori dettagli qui: link

    
risposta data 26.09.2018 - 04:08
fonte
0

Ci sono molti modi, come condividere correttamente le chiavi. Ad esempio, se si è riusciti a verificare una chiave pubblica PGP, è possibile utilizzarla per crittografare. Ciò richiederebbe comunque una certa quantità di verifica di persona per essere perfettamente al sicuro.

Tuttavia, se vuoi una soluzione che sia più vicina al tuo esempio e "abbastanza sicura", esiste un servizio piacevole chiamato privatebin . È open source e tu puoi ospitarlo da solo. Ancora più importante la pasta è crittografata nel browser utilizzando una chiave simmetrica, che è parte del collegamento. Viene decrittografato nel browser dei destinatari. Quindi il proprietario del sito di Privatebin non può leggere il tuo incolla senza essere in grado di vedere la tua conversazione e ottenere il link.

Un'altra opzione è Social Cryptography, ad esempio utilizzando Deamonsaw . Il modo in cui funziona la crittografia sociale è che utilizzi conoscenze condivise per creare livelli di password. Quindi, per esempio, chiedi all'altra persona di usare il luogo che hai incontrato per la prima volta come password per il primo livello. Poi chiedi loro qualcos'altro per il secondo e così via, finché non sei sicuro che solo la persona corretta possa conoscere tutte le risposte.

    
risposta data 27.04.2018 - 10:43
fonte

Leggi altre domande sui tag