L'hoster e-mail tedesco web.de offre la crittografia PGP con Mailvelope adesso.
Per trasferire la tua chiave privata a un altro browser, puoi utilizzare una chiave di recupero di 21 caratteri
.In che modo ciò influisce sul valore di sicurezza del servizio?
A quanto ho capito, l'utente ha un segreto sensibile (la sua chiave PGP) nel suo browser. Il server mantiene una "modalità di ripristino" in cui una copia di tale segreto può essere ripristinata nel caso in cui il browser non sia disponibile (ad esempio l'utente passa a un altro tipo di browser o su un altro dispositivo), ma soggetto a una "chiave di ripristino" . SE ho offerto un servizio di questo tipo, quindi memorizzerei il S segreto crittografato (simmetricamente) con una chiave specifica per l'utente K e quella chiave K sarebbe la "chiave di ripristino", nota all'utente, ma non a me.
Una "chiave di ripristino" di 21 caratteri è sufficiente per codificare circa 126 bit chiave, utilizzando Base64 e il tasto 126 i bit sono abbastanza ampiamente per garantire la sicurezza della crittografia simmetrica.
Questo non dice come l'elaborazione è implementata: se la decrittografia viene eseguita sul server dell'hoster, o è fatta con codice JavaScript appena ottenuto dal server dell'hoster, allora l'hoster può, tecnicamente, saccheggiare le chiavi durante l'operazione di recupero ( il saccheggio sarà molto più discreto se la decifrazione avviene sul server dell'hoster). Se la crittografia simmetrica viene eseguita correttamente è anche una domanda aperta.
Pertanto, si può affermare che una chiave di ripristino di 21 caratteri non implica necessariamente una riduzione o una violazione del modello di sicurezza, purché sia utilizzata correttamente.
Disclosure: sviluppatore di Mailvelope. La domanda originale parla di una chiave di ripristino di 21 caratteri, che non è corretta. Mailvelope genera sul lato client una stringa lunga 26 caratteri basata su valori crittografici casuali da window.crypto. getRandomValues () . Il S2K iterato e salato di OpenPGP viene quindi utilizzato per derivare una chiave per AES-256.
La crittografia e la decrittografia del pacchetto di recupero avvengono solo all'interno dell'estensione del browser Mailvelope, che è installata staticamente e indipendente dal server dell'hoster.
Per la crittografia simmetrica, Mailvelope si basa sull'implementazione in OpenPGP.js. L'output è compatibile con quello che ottieni con l'opzione --symmetric in GPG.
L'esistenza della "chiave di ripristino" è probabilmente un difetto fatale nello schema di crittografia. Mentre una password di 21 caratteri è abbastanza memoria per una quantità sufficiente di entropia, è improbabile che gli utenti generino abbastanza entropia per fornire una sicurezza adeguata. Questo è stato dimostrato più e più volte tramite password cracker che eseguono attacchi offline alle password degli utenti.
La stragrande maggioranza degli utenti non capisce che un aggressore offline può (a seconda dell'implementazione del allungamento della chiave ) indovina migliaia o potenzialmente milioni di ipotesi al secondo. Un attacco come questo dovrebbe prima ottenere l'accesso alla chiave di recupero, anche se si intende l'ordine del tribunale o una vulnerabilità di sicurezza.
Leggi altre domande sui tag email encryption pgp