¿Es seguro almacenar datos encriptados GPG públicamente, por ejemplo, en GitHub?

Navega tus respuestas
4

He estado aprendiendo algunos aspectos básicos de la seguridad de la información y el cifrado GPG y es super intrigante. Quería entender las vulnerabilidades detrás de una idea que tenía.

Después de crear nuestro par de claves públicas y privadas con GPG, es común y correcto que publiquemos su clave pública y su huella digital en línea.

Mi pregunta gira en torno a mí y almacena datos personales encriptados en línea, por ejemplo, en mi repositorio de GitHub. Supongo que va a estar bien, pero quería consultar con la comunidad ya que soy bastante nuevo en este tema.

Supongamos que tengo un archivo de datos que cifré con GPG usando mi propia clave pública. Ahora subo el archivo a GitHub donde se puede ver públicamente. Supongo que esto debería ser seguro porque nadie excepto yo mismo puede descifrar esta información con mi clave privada personal. ¿Es un supuesto seguro o me estoy perdiendo algo crítico aquí?

    
pregunta ggoober 16.09.2018 - 23:09
fuente

2 respuestas

3

Generalmente me suscribo a la idea de que el cifrado tiene fecha de caducidad. Por lo tanto, suponiendo que siga las mejores prácticas para la longitud de clave y la selección de cifrado, las mejores prácticas generalmente suponen un horizonte de seguridad de aproximadamente 30 años.

Entonces, si después de 30 años, estos datos seguirían siendo información confidencial ... entonces querría seleccionar longitudes de clave y cifras más fuertes de lo normal (es decir, ver criptografía post-cuántica), o considerar otras formas para reducir su riesgo de exposición. Por ejemplo, no publicar el contenido públicamente en GitHub. Pero tenga en cuenta que la guía de 30 años proporcionada por organizaciones como NIST para establecer prácticas de la industria se basa en las tasas históricas de abandono de la criptografía. Si un nuevo exploit hace que un cifrado sea inseguro, un atacante podría leer sus datos en mucho menos tiempo.

Pero si el contenido solo es sensible durante un corto período de tiempo, como una clave API que es fácil de revocar y cambiar, o tiene una fecha de caducidad, entonces es probable que publique los datos cifrados con la certeza de que nadie podrá leer el contenido.

    
respondido por el nbering 16.09.2018 - 23:24
fuente
0

Suponiendo que haga todo correctamente, claves fuertes, no reutilizar las claves, protección de claves, criptografía segura, entonces sí, es seguro.

Sin embargo, dado su escenario de uso, debe considerar el cifrado de clave simétrica en su lugar.

El punto de cifrado de clave pública es proporcionar la capacidad de cifrar y descifrar por diferentes entidades. En su escenario establecido, no tiene sentido tener claves públicas y privadas ya que usted es el único usuario. Todo lo que necesitas es una clave única simétrica y la proteges igual que una clave privada.

La forma en que funciona el cifrado de clave pública es que su archivo está realmente encriptado con una clave simétrica generada al azar. Solo esta clave simétrica se encripta mediante encriptación de clave pública porque es computacionalmente costosa. El descifrado de clave pública solo descifra la clave simétrica para el descifrado simétrico posterior. Si usted es el único usuario, el cifrado de clave pública solo agrega sobrecarga y confusión potencial sin beneficio adicional.

    
respondido por el user10216038 17.09.2018 - 23:31
fuente

Lea otras preguntas en las etiquetas

¿Qué criterios utiliza para evaluar los productos de seguridad del lado del cliente / punto final? cuán inseguro es que el servidor web de Windows IIS tenga privilegios de dominio