claves PGP y páginas de contacto de seguridad

Navega tus respuestas
4

He oído que los investigadores de seguridad sugieren que si ejecuta un sitio web público, debe colocar una página de "contacto de seguridad" que incluya una dirección de correo electrónico de contacto y su clave pública PGP para que las personas puedan comunicarse con usted si descubren alguna vulnerabilidad de seguridad. .
Un ejemplo de esto es enlace .

1) ¿Cuál es el propósito de incluir su clave PGP en esta página?

2) ¿Cómo puedes estar seguro de que alguien no puso en peligro el servidor y puso su propia clave PGP?

    
pregunta Jeremy Smith 04.02.2013 - 19:28
fuente

3 respuestas

5

Respondiendo a la pregunta 1:

No estoy seguro de cuál es la conexión a Ruby on Rails, pero su Clave Pública de PGP le brinda a sus usuarios (suponiendo que también usan PGP) dos cosas:

  1. Un medio para verificar los correos electrónicos que reciben de usted, que incluyen su firma PGP.
  2. Un medio para enviarle correos electrónicos, utilizando el cifrado PGP.

Sin embargo, los dos anteriores no ofrecen mucha seguridad a menos que los usuarios finales puedan verificar que la Clave Pública de PGP publicada en su sitio es en realidad suya .

  

Relacionado tangencialmente: ¿El hash de un archivo de un sitio web sin firma da una falsa sensación de seguridad?

Ciertamente, los usuarios podrían usar esa clave pública para cualquiera de los propósitos mencionados anteriormente. Sin embargo, sin la autenticación de la clave en sí, no pueden saber con certeza que usted está enviando los correos electrónicos recibidos o que los correos electrónicos que envían no son realmente descifrados y leídos por otra persona. .

Respondiendo a la pregunta 2:

Esto se puede hacer por uno o una combinación de dos medios:

  1. Implemente SSL en el sitio que aloja su clave pública de PGP.
    • (No es del todo válido para su escenario de ataque, vea los comentarios).
  2. Obtenga su clave firmada por otros usuarios de PGP (Nota, eso es usuarios - plural - más es mejor), para que se una y se pueda verificar con un Web of Trust .
respondido por el Iszi 04.02.2013 - 22:33
fuente
3

La única suposición que podría hacer es que podrían querer una clave pública PGP para que puedan revelar la vulnerabilidad sin temor a que se filtre a un atacante. Si un atacante ya ha comprometido su sitio, entonces el hecho de que el atacante obtenga acceso a su correo electrónico realmente no importa. Aun así, parece una recomendación extraña, ya que la información WHOIS del dominio ya debería hacerles saber a quién contactar y es probable que, aunque se tarde un par de días, no sea un problema crítico, ya que es poco probable que El investigador se encontrará con el problema de inmediato.

    
respondido por el AJ Henderson 04.02.2013 - 19:48
fuente
3

Una clave PGP, por sí misma, no le otorga ninguna garantía. No se puede confiar en una clave PGP debido a que se publica en un sitio web, ya que podría modificarse en tránsito o incluso directamente en el sitio mismo, en caso de que ese sitio sea secuestrado (y, lamentablemente, sucede). Lo que (en teoría) da garantías de que un PGP es genuino y realmente es propiedad de la persona cuyo nombre está en la clave es Web of Trust .

En la práctica, no puede saber si la clave es realmente la clave sysadmin, pero, al menos, PGP protege contra el espionaje pasivo. Además, la presencia de una clave PGP muestra que el administrador del sistema, en algún nivel, se preocupa . Ese es el propósito principal de incluir una clave PGP en la página de "contacto de seguridad": (intentar) exhibir un nivel básico de competencia y conocimiento. Es una declaración de moda.

    
respondido por el Tom Leek 04.02.2013 - 21:26
fuente

Lea otras preguntas en las etiquetas

¿Cómo se puede descifrar una sesión SSL / TLS? Además de la clave privada, ¿qué más se necesita? ¿Cómo funciona el exploit de Yahoo webmail?