Criteri per la selezione di un generatore PGP online

Naviga le tue risposte
0

Quando si generano le chiavi pubbliche / private per crittografare la posta elettronica: esiste una linea di pensiero o ragionamento per selezionare uno generatore di chiavi online sull'altro?

Sono graditi suggerimenti o modifiche che possano affinare la domanda. Grazie.

UPDATE

Il consenso alla risposta ponderata indica che uno deve essere in grado di fidarsi del generatore online e che non genererà intenzionalmente una chiave debole o registrerà l'output e lo inoltrerà all'attore malintenzionato.

Lo scopo della crittografia è proteggere le informazioni finanziarie e le bozze di brevetto. Ti chiedi se il comodo è affidabile? (forse questa dovrebbe essere una domanda separata)

link

    
posta gatorback 22.08.2018 - 17:33
fonte

2 risposte

3

La linea di ragionamento corretta è NON . Ci sono semplicemente troppi problemi.

È potrebbe generarlo utilizzando JavaScript e non inviarlo al server, ma il JavaScript viene inviato dal server, e quindi potrebbe cambiare in qualsiasi momento (e anche per specifici utenti mirati).

È potrebbe generarlo usando un buon CSPRNG, ma ancora una volta, questo può essere cambiato per usare un PRNG backdoor o debole in qualsiasi momento per qualsiasi o tutti gli utenti. In questo caso non ci sarebbero richieste di rete da farti notare, ma la tua chiave sarebbe facilmente infrangibile.

Potrebbe usare un CSPRNG seminato dal sistema, ma potrebbe essere modificato in qualsiasi momento per utilizzare un seeding CSPRNG con un valore casuale noto al sito Web dannoso, nel qual caso la chiave ha vinto essere debole ma sarà comunque noto al sito web.

Genera solo le chiavi con un software di cui ti fidi. Poiché JavaScript viene inviato dal sito Web ogni volta che lo visiti, devi aver fiducia che il sito Web non è stato compromesso, non è dannoso e che gli sviluppatori e i manutentori sono competenti ogni volta che lo visiti . Sarebbe preferibile generare chiavi con una versione firmata di software ben noto e ampiamente affidabile come GPG.

    
risposta data 22.08.2018 - 18:07
fonte
1

Non consiglierei di utilizzare il generatore di chiavi online any . Anche se il sito genera le chiavi sul lato client, è ancora possibile che invii le chiavi altrove o utilizzi una generazione di chiavi intenzionalmente debole.

Invece, dovresti generare le chiavi offline usando uno strumento PGP come GPG: link

    
risposta data 22.08.2018 - 17:58
fonte

Leggi altre domande sui tag

Analizzando pcap al volo [chiuso] Protezione di un'app Web da scanner di vulnerabilità indesiderati