Ricezione di una risposta crittografata con PGP

1

Lavoro come ingegnere software, ma con esperienza limitata in crittografia. Ho un problema pratico, non tanto una questione tecnica, relativa a uno scambio di posta criptato con PGP che ho avuto. Ultimamente, ho scoperto per propria iniziativa un difetto nell'interfaccia di accesso al web di una banca, che non vedo l'errore in pubblico.

La banca in questione presenta un programma di divulgazione responsabile in cui chiunque può segnalare problemi via e-mail, dato che il messaggio (corpo) nella posta viene crittografato utilizzando una chiave PGP pubblica fornita. Come tale, ho formulato il report e ho crittografato il messaggio (Versione: BCPG C # v1.6.1.0), e ho inviato il messaggio PGP da Gmail.

Diversi giorni dopo ricevo una risposta in Gmail senza corpo postale, ma con 3 allegati:

  • 1 file senza formato contenente un messaggio PGP
  • 1 file senza formato contenente solo "Versione: 1"
  • 1 file .eml che contiene metadati e, ancora una volta, il messaggio PGP che credo sia la risposta. Vedi allegato sotto.

Tuttavia, sono sconcertato da come suppongo di decrittografare la loro risposta, per il semplice fatto che mi manca la chiave privata. Inoltre, nella mia relazione iniziale, non ho proposto nuovi mezzi per la comunicazione futura o la mia chiave pubblica per consentire loro di rispondere. Ho risposto con un nuovo messaggio, crittografato usando di nuovo la loro chiave PGP pubblica, ma non ho più ricevuto risposta da settimane.

Infine, ho tentato di eseguire il messaggio tramite link per (almeno) controllare le informazioni-contenuto del keyblock ma ricevere un "formato di pacchetto non valido".

Cosa mi manca? Forse una fondamentale mancanza di conoscenza da parte mia mi fa sorvegliare qualcosa? La guida o il consiglio qui è più che benvenuto.

Contenuti degli allegati EML:

    
posta e-sushi 22.07.2018 - 17:42
fonte

3 risposte

1

Dovrebbe essere stato crittografato usando la tua chiave pubblica, quindi semplicemente decifrare con la tua chiave privata.

    
risposta data 22.07.2018 - 18:19
fonte
1

Usando il keyid scoperto da @ dave_thompson_085 guardando le intestazioni dei pacchetti PGP - 674bddefe7b2c6ae - possiamo trovare il proprietario della chiave:

gpg --search 674bddefe7b2c6ae
gpg: data source: http://zimmermann.mayfirst.org:11371
(1) [email protected] <[email protected]>
    2048 bit RSA key 5F19FCCE, created: 2013-08-29

Quindi, supponendo che questa sia la banca a cui hai scritto in primo luogo, sembrerebbe che la loro risposta sia crittografata sulla propria chiave. Ci sono diverse spiegazioni:

  1. È una copia della tua email originale per loro
  2. Hanno incasinato e crittografato la risposta utilizzando la propria chiave

Un utile comando per esaminare il messaggio crittografato sta utilizzando lo strumento della riga di comando gpg (puoi ottenere una versione di Windows). Salva il messaggio crittografato (incluse le parti ----- BEGIN e ----- END) in un file .asc ed esegui:

gpg --list-packets message.asc

Elencherà tutti i keyid a cui il messaggio è crittografato. Questi sarebbero gli ID sottochiave, quindi per trovare il proprietario della chiave, dovrai eseguire gpg --search [subkey-id] come nell'esempio precedente per scoprire a chi appartiene la sottochiave.

    
risposta data 23.07.2018 - 17:04
fonte
0

Il tuo commento suggerisce alla fonte di la tua confusione (citazione, enfasi mia):

Yes, if I would have provided a public key. But as I stated in my message, I did not provide them one in my initial report. I did not assume necessary since the steps for disclosure stated: 1) I should use their public PGP to encrypt my message and 2) they would 'provide a response within a couple days'. My question is, since they did now provide me with an encrypted response, what could have been used to encrypt it with?

Dovresti sapere che il software GPG / PGP tende a sincronizzare le tue chiavi pubbliche e gli indirizzi email relativi a server come pgp.mit.edu , pool.sks-keyservers.net o keys.gnupg.net .

Se la tua chiave pubblica è effettivamente sincronizzata e archiviata in quel server, l'impiegato della banca che gestisce il tuo rapporto potrebbe semplicemente aver cercato la tua chiave pubblica cercando i server chiave per la tua email, o lasciando che il suo / il loro software GPG / PGP gestisce automaticamente la ricerca.

Esempio pratico fai-da-te

Nella maggior parte dei casi, il software GPG / PGP gestisce automaticamente tali ricerche, ma può anche essere eseguito manualmente. Ecco un esempio pratico di come si possa trovare manualmente la mia chiave pubblica:

  1. Visita (ad esempio) link e inserisci l'indirizzo email che vuoi cercare. In questo caso, prenderò uno dei miei ...

    How to look up a public key at a key server (1/3)

  2. La pagina dei risultati elenca tutte le chiavi pubbliche conosciute (comprese quelle revocate) che sono correlate a quello specifico indirizzo email.

    How to look up a public key at a key server (2/3)

  3. Fai clic sul link che punta alla chiave pubblica non revocata (in questo caso 23D47011 ) per trovare la chiave pubblica correlata.

    How to look up a public key at a key server (3/3)

Come puoi vedere, è facile trovare la mia chiave pubblica senza che io debba inoltrarla da sola. Persone e software possono semplicemente cercarlo da soli.

Non ho mai caricato attivamente quella chiave sul server delle chiavi tramite l'interazione dell'utente. Il software che uso lo ha fatto per me ... e il tuo software molto probabilmente avrà fatto lo stesso per te. In caso di dubbio, cerca il tuo indirizzo email per verificare se è il caso.

TL; DR

Se la tua chiave pubblica è disponibile pubblicamente sui server delle chiavi (che probabilmente è), allora è lì che i dipendenti della banca hanno ricevuto la tua chiave pubblica - e dovresti essere in grado di decrittografare i loro messaggi utilizzando la chiave privata correlata (che è nota solo a te).

    
risposta data 23.07.2018 - 02:31
fonte

Leggi altre domande sui tag