¿Hay problemas con la reutilización de contraseñas seguras para claves privadas de gpg?

Navega tus respuestas
4

Actualmente mantengo unas pocas identidades diferentes, cada una asociada con diferentes claves de gpg (para correspondencia personal, académica, profesional, etc., ya sea que esta sea una buena idea o no, probablemente sea una cuestión para otra pregunta). Para mayor comodidad, me gustaría usar la misma contraseña (segura) en estas tres claves. Creo que esto está bien por las siguientes razones:

  1. Estas claves son todas subclaves de claves maestras que se mantienen fuera de línea en una ubicación segura. Todos ellos pueden ser revocados rápidamente si es necesario.

  2. Todas estas subclaves se almacenan juntas (las necesito todas en todos mis dispositivos). Como resultado, si uno está comprometido, todos ellos están comprometidos, y los revocaría (y utilizaría una contraseña diferente para la próxima generación de claves).

Habiendo dicho esto, no soy un experto. La iluminación de un modo u otro sería muy apreciada.

Editar:

La reutilización de contraseña OK tiene algunas implicaciones obvias. Por ejemplo, si uno está comprometido, todos están comprometidos. Según los comentarios, sería más interesante ver si hay implicaciones no intuitivas. Por ejemplo: es más fácil de descifrar la contraseña si hay 3 claves que usan solo una.

    
pregunta maxf130 22.05.2016 - 22:46
fuente

1 respuesta

1

En general, en términos de seguridad, reutilizar las contraseñas no es una buena idea.

Tenga en cuenta que la revocación no es el único problema si se compromete. Un atacante con acceso a sus mensajes previamente encriptados, al tener la clave y la contraseña, podrá descifrarlos. Por lo tanto, tener contraseñas diferentes hace que el trabajo del atacante sea más difícil.

Además, realizar esta configuración (mantener las claves en las mismas máquinas) no es necesariamente una buena idea. Si puedes evitar tener una de tus llaves en una máquina, hazlo. Haz que tu ataque sea lo más pequeño posible.

    
respondido por el Fofz 23.05.2016 - 07:00
fuente

Lea otras preguntas en las etiquetas

¿Obtener suscriptores en el sitio web de la nada? ¿Las mejores prácticas para que los usuarios eviten el fraude en cuentas bancarias habilitadas para débito directo?