Le domande di sicurezza sono ben note / ampiamente considerate per ridurre la sicurezza o creare in altro modo più problemi (ad esempio, ricordare parole senza senso), ma a volte sono obbligato ad avere e rispondere comunque. Nonostante ciò sia stato discusso molte volte prima, quindi non terrò qui il dibattito, sono un fan delle password che sono al tempo stesso sicure e possono essere facilmente (ri) generate, quindi quello che mi piacerebbe fare è rispondere alle domande di sicurezza con una parte della mia firma pgp per le domande stesse. Tuttavia, questo mi lascia con due problemi di cui non sono sicuro:
- se c'è qualcosa che mi manca potrebbe rendere questa versione meno sicura o meno riproducibile (diverse versioni di gpg o algoritmi predefiniti, ecc.) di quanto io possa pensare che sia, e
- dove estrarre la parte della firma, considerando qualcosa come l'intestazione pgp e il fatto che la firma completa è troppo lunga per essere utilizzata realisticamente.
Attualmente, se utilizzo echo -n 'What is the air speed velocity of an unladen swallow?' | gpg -s --clearsign
, ottengo:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
What is the air speed velocity of an unladen swallow?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1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=jh/a
-----END PGP SIGNATURE-----
Quello che mi piacerebbe fare è prendere un frammento di firma di 16 caratteri lungo da usare come risposta che sarebbe in una posizione coerente e facilmente reperibile in modo da poter riprodurre in modo affidabile le mie risposte a tutte le domande di sicurezza future, ma dove dovrebbe essere? Almeno i primi 18 personaggi sembrano essere gli stessi indipendentemente dall'input, ma questo da solo non è sufficiente per convincermi a scartare i primi 18 e usare i successivi 16.
Qualcuno può rispondere ai due dubbi sopra riportati?
Aggiorna
Questa domanda era originariamente incentrata sul fatto che PGP fosse percepito come la potenziale soluzione al mio problema, che si dimostrò non adatto al requisito di riproducibilità. Tuttavia, mi piace ancora l'idea di trattare domande di sicurezza simili all'autenticazione sfida-risposta con i vantaggi di sicurezza acquisiti in genere attraverso approcci PKI (ad esempio, verificabilità, non ripudio, ecc.). In assenza di tale soluzione, HMAC può essere un'alternativa praticabile, ma si riduce ad essere più semplicemente un'altra password (qualcosa che conosco) invece di una risposta verificabile in base a qualcosa legato alla mia identità come una chiave (qualcosa che ho ). Anche se questa non è una domanda del MAE, vorrei sapere se ci sono altri possibili approcci che potrebbero avvicinarmi a ciò che avevo immaginato?