Come è possibile esportare una chiave OpenPGP crittografata con MD5 senza immettere la passphrase?

Naviga le tue risposte
0

Sto studiando la crittografia e ho una domanda sullo strumento GnuPG per Windows.

Da quanto ho capito, una passphrase è usata per hash con MD5 la chiave privata RSA. Ma quando uso lo strumento Kleopatra mi permette di esportare la mia chiave privata senza chiedere la passphrase. Cosa sta succedendo?

    
posta JoulinRouge 09.02.2016 - 15:46
fonte

2 risposte

3

Chiavi private crittografate in OpenPGP

Generalmente in OpenPGP e in particolare in GnuPG, le chiavi private possono essere crittografate con una chiave simmetrica derivata da una passphrase. Per derivare la chiave simmetrica (chiave di sessione), viene utilizzata una funzione stringa-chiave . Di solito viene usato S2K iterato e salato:

The salt is combined with the passphrase and the resulting value is hashed repeatedly.

Gli altri metodi includono un semplice hash e un hash salato. L'algoritmo di hashing può anche essere scelto - mentre MD5 è permesso, non dovrebbe essere usato in quanto è considerato debole. È inoltre possibile scegliere l'algoritmo di crittografia simmetrica, mentre i valori predefiniti dipendono dall'implementazione di OpenPGP che si utilizza.

Probabilmente hai recuperato le informazioni per le vecchie versioni di PGP, che utilizzavano solo MD5 semplice:

Older versions of PGP just stored a cipher algorithm octet preceding the secret data or a zero to indicate that the secret data was unencrypted. The MD5 hash function was always used to convert the passphrase to a key for the specified cipher algorithm.

Esportazione di chiavi private crittografate senza immettere la passphrase

Se Kleopatra è in grado di esportare comunque la chiave privata, potrebbero esistere diversi motivi:

  • esporta la copia crittografata della chiave privata,
  • la passphrase per la chiave è memorizzata in gpg-agent o
  • la passphrase è memorizzata da qualche altra parte (cosa che non fa Kleopatra, ma altri gestori di keyring grafici, come il portachiavi GNOME).
risposta data 09.02.2016 - 16:53
fonte
0

Le chiavi private sono codificate in base allo Standard OpenPGP . MD5 non è utilizzato in GPG poiché è non sicuro . GPG utilizza una derivazione basata su password chiamata S2K iterata e salata che definisce come viene memorizzata una chiave. È possibile utilizzare vari hash qui, e questo è molto probabilmente quello che intendi con MD5, anche se non è usato nelle moderne implementazioni GPG.

Poiché Kleopatra è uno strumento di gestione delle chiavi, ha già accesso alle tue chiavi o la tua chiave privata è stata archiviata senza usare una passphrase.

    
risposta data 09.02.2016 - 16:46
fonte

Leggi altre domande sui tag

Come consentire solo al proprietario della chiave pubblica di inviare richieste al mio sito? E come si chiama questo tipo di sicurezza? Ho bisogno di aiuto per il problema di Wordpress