¿Cómo se agrega a su seguridad la frase de contraseña de una clave OpenPGP privada?

Navega tus respuestas
4

Soy un usuario novato de OpenPGP. Yo uso GPGTools para OS X. Tengo varias preguntas relacionadas, pero es difícil encontrar respuestas directas en Internet.

  1. Cuando creo un par de claves, la contraseña que ingreso es una frase de contraseña que encripta mi clave privada solo en mi máquina, y NO es una frase de contraseña necesaria para descifrar los mensajes codificados, ¿correcto?
  2. Si la declaración anterior es correcta, ¿significa que la contraseña que utilizo para descifrar un mensaje es realmente la frase de contraseña que desbloquea mi clave privada? Por lo tanto, si pierdo mi clave privada (digamos, deje mi computadora en el Pacífico), así que incluso si revelo mi contraseña, no se puede hacer nada, ya que se usa solo para desbloquear un archivo específico.
  3. La técnica de fuerza bruta rompe un texto cifrado OpenPGP solo a través de la clave privada (que suele ser muy larga); en consecuencia, la técnica de fuerza bruta utilizada para romper la clave PGP privada se realiza a través de la frase de contraseña (conocida por el propietario de la clave) cuando la clave se creó para "propósitos de almacenamiento". ¿Es correcto?

Lo siento por las numerosas preguntas, pero creo que estas representan una pregunta cuya respuesta no pude encontrar en ninguna parte.

Gracias.

    
pregunta stackex-change 04.06.2017 - 22:45
fuente

1 respuesta

6

Si tiene una clave privada encriptada, esto significa que se generó una clave privada a partir de números aleatorios y luego se encriptó simétricamente con su frase de contraseña. En otras palabras, la clave privada no se genera mediante la frase de contraseña, sino que solo se protege a través de ella.

  

Cuando creo un par de claves, la contraseña que ingrese es una frase de contraseña que encripta mi clave privada solo en mi máquina, y NO es una frase de contraseña necesaria para descifrar los mensajes codificados, ¿correcto?

La clave privada se cifra con su frase de contraseña, eso es correcto. Pero esto también significa que si desea descifrar un mensaje (que requiere su clave privada no cifrada), debe ingresar su frase de contraseña para descifrarla.

  

Si la declaración anterior es correcta, ¿significa que la contraseña que utilizo para descifrar un mensaje es en realidad solo la frase de contraseña que desbloquea mi clave privada? Por lo tanto, si pierdo mi clave privada (digamos, deje mi computadora en el Pacífico), así que incluso si revelo mi contraseña, no se puede hacer nada, ya que se usa solo para desbloquear un archivo específico.

Otra vez, por supuesto, la frase de contraseña por sí sola no es suficiente para descifrar el mensaje, por lo que la metáfora de "caer en el mar" funciona. La frase de contraseña no sirve de nada sin la clave privada cifrada.

  

La técnica de fuerza bruta rompe un texto cifrado OpenPGP solo a través de la clave privada (que suele ser muy larga); en consecuencia, la técnica de fuerza bruta utilizada para romper la clave PGP privada se realiza a través de la frase de contraseña (conocida por el propietario de la clave) cuando la clave se creó para "propósitos de almacenamiento". ¿Es eso correcto?

Por supuesto, la clave privada cifrada puede revelarse mediante el uso de la frase de contraseña (pero con una configuración razonable / predeterminada de GnuPG y una frase de contraseña compleja adecuada), esto no es una superficie de ataque práctica siempre que los algoritmos utilizados no sean inseguros. ). Pero al mismo tiempo, un atacante, por supuesto, también podría intentar adivinar / forzar la copia (sin cifrar) de su clave privada. Dado que tenías recursos computacionales vastos y suficientes, podrías forzar a cualquiera de ellos; forzar la frase de contraseña es menos costoso, pero requiere un conocimiento de la clave privada cifrada, mientras que la clave no solo requiere un mensaje cifrado.

    
respondido por el Jens Erat 04.06.2017 - 23:15
fuente

Lea otras preguntas en las etiquetas

¿Por qué la autenticación de contraseña requiere enviar la contraseña? Hashing de una vía: aleatoriedad de las sales o singularidad global [duplicado]