¿Debo revocar y regenerar las claves privadas de PGP después de que Apple Store atiende la computadora?

Question

¿Debo revocar y regenerar las claves privadas de PGP después de que Apple Store atiende la computadora?

#1 de CodeGnome (3 votos)

3

Hace poco tuve un problema con mi MacBook donde no se iniciaba. Así que lo llevé a la tienda de Apple y me dijeron que tendrían que enviarlo a un centro de servicio para diagnosticarlo y repararlo. Recibí mi computadora dos días después, trabajando muy bien.

El "problema" es que mi Mac está protegida con contraseña usando el cifrado de disco completo de FileVault, y los técnicos de Apple necesitaron mi contraseña de FileVault para arrancar mi computadora y probar todo. Normalmente no entregaría mis contraseñas, pero necesitaba arreglar mi computadora. (EDITAR: Y para ser claro, normalmente también cambiaría mi contraseña, o eliminaría mis claves privadas, antes de entregar mi computadora. Pero como mi computadora ni siquiera arrancaba, esto no era una opción.) Como soy muy inteligente (sí, a la derecha), mi contraseña de FileVault es la misma que la de mis claves PGP privadas, que también están almacenadas en mi computadora portátil. Teóricamente (aunque probablemente poco probable en la realidad), un técnico de Apple adversario podría haber arreglado mi computadora, haberlo iniciado, haber iniciado sesión como yo, y haber hurgado para ver si había claves pgp, y luego haber probado mi contraseña de inicio de sesión para ver si Les daría acceso a las claves privadas.

Cuando configuré mis claves PGP, creé una clave secundaria de firma secreta y un par de claves maestras que no son almacenado en mi computadora portátil: están en una llave USB segura . Así que puedo revocar fácilmente las claves PGP y generar otras nuevas, si decido que quiero hacerlo.

Con esto en mente, mi pregunta es: ¿Debo tratar esta situación como si me hubieran robado mi computadora y revocar y volver a emitir mis claves PGP usando la misma subclave de firma?

key-management key-generation gnupg pgp

pregunta Jason 26.09.2015 - 08:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management key-generation gnupg pgp

¿Varias claves de cifrado OpenPGP firmadas por una única clave de certificación? Encadenamiento de múltiples claves PGP

score 3 · Answer 1

TL; DR

Cada vez que un atacante tiene acceso físico o lógico al material de clave privada, incluso si está cifrado en reposo, se debe considerar revocar las claves expuestas. En su caso particular, debe asumir un compromiso y actuar en consecuencia.

Por qué debería revocar sus claves

Incluso si no hubiera violado el principio de "no reutilizará contraseñas", el hecho es que un ataque local o un ataque contra material clave extraído / copiado no tiene límite de velocidad. Por lo tanto, suponiendo que Apple, Google o la NSA realmente quieran intentar forzar la clave cifrada de forma bruta, pueden hacerlo de manera mucho más efectiva con acceso a su clave en el disco.

Ya que sería sensato intentar cualquier contraseña conocida antes de embarcarse en un ataque de fuerza bruta, puedes (y debes) asumir que cualquier atacante experto hará exactamente eso. Nunca asumas que tu adversario es un idiota.

En su caso particular, le dio al atacante acceso físico y lógico a su máquina. Es posible y probable que se hayan realizado copias de seguridad de los datos, por lo que incluso si el técnico no es su adversario directo, ahora no tiene ninguna garantía de quién tiene acceso a su clave en reposo, ni de qué recursos informáticos se pueden aplicar. it.

En resumen, entregó su clave con la frase de contraseña de su clave metafóricamente (y posiblemente literalmente, por el técnico) grabada en su monitor. Probablemente nunca lo sabrás si estuviste comprometido, pero debes asumir que podría haber sido

Por qué puedes elegir no preocuparte

Si bien Apple (como compañía) tiene una gran cantidad de recursos de computación y almacenamiento para respaldar sus secretos y organizar ataques de fuerza bruta contra ellos, parece poco probable que sea de su interés directo. Venden productos y servicios que a los consumidores les gustaría creer que son seguros, por lo que violar deliberadamente esa seguridad y confianza sería una mala decisión comercial.

Habiendo dicho eso, los técnicos individuales todavía podrían ser malos actores. Sin embargo, esta posibilidad se ve atenuada por el hecho de que es poco probable que los técnicos de Apple sean criptógrafos profesionales o especialistas forenses, y generalmente son personas ocupadas sin tiempo para perder los discos duros de las personas sin un poco más de incentivo de lo que has identificado. en tu post.

Un escenario más probable es que Apple podría recibir una Carta de Seguridad Nacional solicitando que entreguen cualquier información que tengan. La NSA sin duda tiene la capacitación y los recursos para revisar sus archivos y aplicar técnicas forenses de sentido común para evitar el uso forzoso de su contraseña, pero a menos que Apple esté entregando rutinariamente todos los datos del cliente como parte de alguna actividad de recopilación masiva esto es posible pero poco probable), es probable que no necesite perder mucho sueño sobre este escenario en particular.

Finalmente, las amenazas tienen que ver con consecuencias . Suponiendo que no está contrabandeando secretos de estado, o que sus cuentas off-shore y la información de contacto de la trata de personas estén encriptadas con la clave potencialmente comprometida, la pregunta lógica es: Incluso si la clave era comprometido, ¿y qué?

Si su potencial de daño es lo suficientemente bajo, probablemente podría entregarle a las personas su clave privada todo el día sin consecuencias graves. No te estoy recomendando do , entonces; simplemente vale la pena tener en cuenta su perfil de riesgo real para evaluar adecuadamente las amenazas y las consecuencias del compromiso.

Nota para los clientes de Apple

Apple hace esto mucho, por ejemplo. pidiendo a los clientes que desbloqueen sus unidades como parte de sus procesos de diagnóstico y reparación. Afirman que necesitan acceso al sistema operativo almacenado en las particiones protegidas de FileVault para ejecutar diagnósticos. Puede haber una razón técnica por la que no pueden usar un disco de arranque o un arranque de red para activar sus diagnósticos, pero sin más información lo considero sospechoso.

Como regla general, es mejor hacer una copia de seguridad de la unidad y eliminar la partición de FileVault antes de solicitar servicio, o dejar que lo hagan por usted. Si bien no tiene mucho sentido desconfiar de su hardware o de su proveedor de sistemas operativos, tampoco debe entregarle a nadie información confidencial en una bandeja. Solo tenga en cuenta que solicitar contraseñas de FileVault es S.O.P. en los centros de reparación de Apple, y planificar en consecuencia.