¿Cuáles son las vulnerabilidades de reutilizar las contraseñas para la generación de claves y archivos cifrados?

2

La razón principal por la que no se recomienda reutilizar una contraseña para diferentes cuentas es que si la contraseña está comprometida, todas las cuentas están comprometidas.

Esta pregunta es sobre otras vulnerabilidades aparte de eso.

Por ejemplo, es posible que desee generar dos claves PGP diferentes, una para la firma y otra para el cifrado, que generó a través de procesos separados pero utilizando la misma contraseña muy segura.

Si un adversario tiene dos claves públicas y algunos mensajes cifrados con ellos, ¿es más probable que rompa sus claves debido al hecho de que ambos fueron generados por una sola contraseña? ¿Si es así por qué? Si es así, cuantas más claves genere con la misma contraseña, más vulnerables serán las claves?

El ejemplo fue PGP, pero la pregunta se generaliza a cualquier otra situación en la que se reutilice la misma contraseña, en instancias separadas, para generar claves, volúmenes cifrados o archivos cifrados que se hagan públicos.

Mi conjetura es que la repetición de una contraseña podría generar algún tipo de regularidad observable en las claves o archivos. Sin embargo, siempre existe el momento de mover aleatoriamente el mouse para generar lo que desea, y si los archivos y las claves se generan por diferentes instancias de movimientos aleatorios del mouse, ¿no es eso lo que cuenta? No estoy seguro.

    
pregunta Strapakowsky 31.05.2013 - 04:11
fuente

2 respuestas

1

Si usaste un buen cifrado, repetir la misma contraseña no hará la diferencia.

para esquemas asimétricos

Se genera un par de claves: pública y privada. Su generación se basa en muchos elementos y su contraseña no se incluye entre ellos.

Luego, su clave privada está ahí, sin protección, por lo que cualquier persona que pueda tener acceso a su computadora podría obtenerla y todo el secreto desaparecerá. Así que es bueno protegerlo: luego se usa su contraseña para cifrarla. En general, la clave privada es como un grupo de bytes aleatorios, y no es posible ningún ataque sabiendo que dos claves privadas estaban protegidas con la misma contraseña.

para esquemas simétricos

En los buenos algoritmos de cifrado, se utilizan tantas acciones sobre su contraseña que incluso conocer dos documentos, generados con la misma contraseña, y saber cómo se vería el documento original, no será de mucha ayuda para el atacante.

    
respondido por el woliveirajr 06.06.2013 - 15:32
fuente
1

La contraseña (frase de contraseña) que menciona se usa para cifrar simétricamente su clave asimétrica privada. Utiliza la clave privada (no su contraseña) para descifrar / firmar sus mensajes, este proceso no se ve afectado por su contraseña.

En caso de que el atacante obtenga todas sus claves privadas cifradas, tampoco tendrá muchas posibilidades, incluso si usó la misma contraseña en muchos casos, los sistemas de cifrado modernos están diseñados para evitar eso y ataques mucho más fuertes:

enlace

    
respondido por el buherator 06.06.2013 - 14:35
fuente

Lea otras preguntas en las etiquetas