Crittografia per più destinatari senza chiave privata?

1

Ho esaminato il PGP, ma non voglio che i miei utenti debbano preoccuparsi di archiviare in modo sicuro le proprie chiavi private. Pertanto, mi sembra che forse sarebbe sufficiente una semplice crittografia simmetrica senza chiave privata.

Qual è il modo consigliato per farlo? È usare le loro password in qualche modo? Se dicessi che gli utenti sono legati a un ruolo e le autorizzazioni di lettura sono basate su quel ruolo, sarebbe più semplice utilizzare semplicemente una sorta di chiave simmetrica condivisa per ciascun ruolo?

Caso di utilizzo: si tratta di transazioni su un libro mastro, in cui il libro mastro è pubblico e chiunque può vederlo, ma tutte le informazioni sulla transazione sono attualmente memorizzate in testo normale. Vorrei che le informazioni sulla transazione venissero crittografate per i ruoli utente rilevanti per quel tipo di transazione. Tutti possono vedere che la transazione si è effettivamente verificata, ma l'obiettivo è solo una sicurezza migliore che consentire a tutti di vedere chiaramente l'intero contenuto di ogni transazione.

Esempio: c'è una squadra blu e una squadra rossa. Quando un utente Blu utilizza il sistema, è in grado di visualizzare un elenco di tutte le transazioni per entrambe le parti. Ciò permette loro di vedere che la squadra rossa ha effettivamente effettuato transazioni, ma poiché non sono nella squadra rossa e non conoscono la lingua rossa, non possono leggere esattamente ciò che è stato trattato e sanno solo che si è verificato.

  • può memorizzare chiavi utilizzando il servizio di gestione delle chiavi cloud
  • non può aspettarsi che gli utenti gestiscano le proprie chiavi con contenitori freddi / di carta / ecc.
  • funziona tranquillamente sotto la cappa, dove gli utenti si collegano semplicemente con e-mail e password e dovrebbero essere in grado di visualizzare le informazioni decifrate relative al loro ruolo
  • alcune transazioni potrebbero essere crittografate per più ruoli
posta kayla 07.09.2018 - 16:44
fonte

1 risposta

1

I have been looking into PGP, but do not want my users to have to worry about securely storing their own private keys. Therefore, I feel like maybe just symmetric encryption without private key would suffice.

Questo tuo sentimento non sembra aver senso dal momento che gli utenti dovrebbero comunque memorizzare in modo sicuro la chiave di crittografia simmetrica segreta (o la password che genera la chiave simmetrica). Sembra che tu non stia guadagnando nulla.

What is the recommended way of doing so? Is it to use their passwords somehow?

È possibile proteggere una chiave simmetrica con una password (o generarla con una password). È inoltre possibile proteggere una chiave privata asimmetrica con una password. Quindi, di nuovo, non sei sicuro di cosa stai ottenendo qui?

Per un'opzione pratica, potresti usare gpg, che ti offre l'opzione di crittografia / decrittografia simmetrica basata su password. In questo caso, la chiave simmetrica viene generata dalla password, che l'utente inserisce nella riga di comando. Tuttavia, puoi utilizzare gpg anche con chiavi private asimmetriche protette da password, la password per la quale l'utente accede alla riga di comando. Questo è il motivo per cui il passaggio a una chiave simmetrica sembra che tu non stia guadagnando molto, se non altro.

    
risposta data 07.09.2018 - 21:41
fonte

Leggi altre domande sui tag