Tengo un archivo .pfx protegido por contraseña y me gustaría saber si es seguro compartirlo en GitHub.
La intención es garantizar que las empresas puedan confiar en un archivo dll de la biblioteca de código abierto Tweetinvi. La DLL está firmada por un certificado y el archivo .p12 contiene claves privadas y públicas.
Esto ha sido solicitado por grandes compañías y no sé qué tan seguro es el archivo .p12 protegido por contraseña.
Al tener el archivo, sería posible intentar forzar la contraseña bruta, por lo que necesitaría elegir una contraseña muy segura para protegerla y hacer que la fuerza bruta no sea factible. Por ejemplo, puedo encontrar en las herramientas de Google que afirman ser fuerza bruta PKCS # 12 a 500k contraseñas por segundo. Si elige 8 caracteres imprimibles al azar , se necesitarían más de 400 años. Eso en una herramienta comercial con aceleración GPU. Parece lo suficientemente seguro para su escenario.
Sin embargo, compartir la clave con otros desarrolladores debería evitarse de todos modos. Ya que tendrá que compartir de forma segura la contraseña de todos modos por otro canal, y debe elegir una contraseña que sea realmente segura, tal vez pueda usar el mismo canal para compartir de manera segura el PKCS # 12 y, si no, enviar ambos usando dos Canales distintos y privados sigue siendo una mejor opción.
Lea otras preguntas en las etiquetas certificates