Problemi con PGP / chiave SSH non modificabili come avviene con una password

0

Ho iniziato a utilizzare la crittografia e l'autenticazione basata su chiave circa tre mesi fa. Poiché la maggior parte delle persone inizia con qualcosa, non conoscevo tutti i dettagli sull'uso e sulla segretezza delle chiavi private. Di conseguenza, non ho tenuto traccia corretta di dove ho messo le chiavi.

Penso che potrei o non posso aver usato mezzi insicuri per trasferire la mia chiave privata su un paio delle mie macchine. Quindi, tecnicamente parlando, Google potrebbe avere la mia chiave privata memorizzata da qualche parte nelle loro malvagie e onniscenti strongzze di distruzione dei dati.

Non sono preoccupato che la mia chiave sia stata compromessa, penso di essermi presa abbastanza cura per assicurarmi che non sia successo. Ma sarebbe successo con una password, penso che l'avrei cambiata.

Questo mi ha fatto pensare. Le chiavi private vengono utilizzate per autenticare, codificare e decodificare molte informazioni. Non è questo un punto debole? Cosa succede se ho rovesciato accidentalmente la mia chiave privata da qualche parte? Qualcuno sarebbe in grado di decifrare tutti i messaggi che ho mai codificato e accedere a tutti i server che potrei. Opposto a questo, se spargo accidentalmente una password, la cambio. Chiavi, non tanto.

Inoltre:

Treat your password like a toothbrush - don't let anybody else use it, and get a new one every six months. — Clifford Stoll

Questo non è realmente possibile con una chiave privata (a meno che non mi sbagli terribilmente). Non è anche un problema di sicurezza?

Non è in questo caso una buona password (32 caratteri, a-Z / 0-9 / ~! @ # $ ecc) archiviata in un posto sicuro meglio?

    
posta Daniël van den Berg 06.09.2016 - 16:36
fonte

1 risposta

1

Ovviamente tu cambi le chiavi, devi solo trovare tutti i posti che le accettano e cambiare quelle che sono accettate. Modifica i file authorized_keys in caso di un server SSH. Richiede l'accesso a tutte le macchine, ma è esattamente lo stesso se si desidera cambiare la password.

Se hai, per esempio, file crittografati su una chiave GPG e hai spostato loro , oltre alla chiave, è un po 'più noioso, dal momento che devi trovare ed eliminare o cambia anche tutti i file. Qualsiasi e-mail crittografata con GPG inviata alla tua vecchia chiave sarebbe comunque leggibile da qualcuno che ha perso la chiave, se possono mettere le mani sulle vecchie e-mail. Neanche questo è diverso dalle password. Se hai file crittografati su una password, chiunque abbia il file e la password può leggerlo.

Anybody would be able to decrypt all messages I've ever encoded, and access all servers I could.

Penso che ciò si applicherebbe completamente anche se la precondizione fosse cambiata in "Cosa succede se spengo accidentalmente la mia password".

    
risposta data 06.09.2016 - 17:34
fonte

Leggi altre domande sui tag