¿Se considera comprometida una clave PGP secreta si llega a la red?

Navega tus respuestas
3

Comencé a aplicar ingeniería inversa al sistema ProtonMail un poco y noté que ProtonMail mantiene todas las claves privadas blindadas ASCII en su forma de texto sin formato en sus servidores, y lo único que las protege es la protección de frase de contraseña integrada estándar definida por OpenPGP.

Más información aquí .

Ahora, ProtonMail afirma que mantienen la clave encriptada en sus servidores, pero debido al rastreo del tráfico de la red, pude recuperar mi clave secreta que el servidor devuelve en texto sin formato y pude importarlo en GnuPG.

¿Se considera comprometida una clave secreta de PGP si llega a Internet sin cifrar, ASCII blindado, frase de contraseña protegida?

    
pregunta Gala 26.03.2017 - 21:32
fuente

1 respuesta

1

Aquí hay una toma diferente: Todo el cifrado en el mundo no importa si la contraseña es de fuerza bruta.

Debes asumir que la clave está comprometida si el tiempo desde que estuvo disponible es más largo que el tiempo posible para descifrar la contraseña.

Incluso si eso solo crea un límite superior para su seguridad, cualquier debilidad en la implementación de la contraseña y el cifrado reducirá el tiempo para comprometerse.

En resumen: sí, supongamos que está comprometido; entonces decide lo que eso significa para ti. Si es solo que alguien podría leer correos electrónicos llenos de chismes, probablemente no sea un problema. Si se usa para proteger la información legalmente protegida, revoque las claves, genere nuevas (con la nueva contraseña) y reconstruya sus fideicomisos.

Desafortunadamente, PGP no ofrece secreto de reenvío, por lo que cualquier correo electrónico histórico encriptado a esas claves liberadas tiene una eternidad para ser forzado; esos datos ya no son privados.

    
respondido por el CGretski 10.01.2018 - 00:15
fuente

Lea otras preguntas en las etiquetas

¿Debería el ataque de la lógica empresarial ser uno de los métodos de prueba durante el proyecto de evaluación de vulnerabilidad o prueba? Falsa XSS en la barra de búsqueda [cerrado]