¿Cómo comparto una contraseña de una manera compatible con FIPS?

2

Esta es una pregunta muy básica, pero soy un novato en seguridad. Lo que me pregunto es: ¿Cómo comparto una contraseña para un documento cifrado de manera compatible con FIPS 140-2? Es decir, digamos que tengo un PDF, DocumentA, cifrado con AES-128 con una contraseña. Quiero compartir DocumentA con Bob, por correo electrónico. Le envié un correo electrónico a Bob DocumentA: ¿ahora cómo le doy la contraseña?

Esta es una situación que se presenta con bastante frecuencia, por lo que llamar para darle verbalmente la contraseña cada vez no sería conveniente. Obviamente, incluir la contraseña en el correo electrónico en sí es una idea terrible y anula el propósito del cifrado.

He leído la documentación FIPS del NIST ( aquí ), y el los anexos asociados AD (disponibles en el mismo enlace) y no han podido encontrar ninguna información sobre esta parte crucial.

¿Alguien puede indicarme la documentación que dice esto? Muchas gracias.

    
pregunta Eliza Bennet 27.03.2018 - 15:59
fuente

1 respuesta

1

Debe NUNCA enviar una contraseña por correo electrónico o de forma similar. Puede resolver ese problema utilizando Criptografía de clave pública ( o criptografía asimétrica ). No voy a entrar en muchos detalles sobre cómo funciona, pero la idea básica es que todos tienen un par de claves, un público ( que debería ser public ) y un privado uno ( que se debe mantener secretario ). La clave pública se utiliza para cifrar mensajes y la clave privada para descifrar mensajes.

Porejemplo,siBobquiereenviar"info.pdf" a Alice, la cifrará con la clave pública de Alice, que es conocida, y solo la clave privada de Alice se puede usar para el descifrado ( solo Alice conoce la clave privada ). Por supuesto, este es un ejemplo mínimo y la criptografía de clave pública es un tema muy importante, por lo que definitivamente debe hacer su investigación sobre el tema.

Ahora hay muchas formas fáciles de usar para cifrar sus correos electrónicos, archivos, etc. Por ejemplo, PGP es uno de los estándares más populares para el cifrado de correo electrónico que utiliza criptografía de clave simétrica para cifrar los datos y criptografía de clave pública para cifrar la clave que se utilizó para cifrar los datos. Luego, el receptor usa su clave privada para descifrar la clave encriptada, y luego usa la clave desencriptada para descifrar los datos. Así que PGP usa tanto criptografía de clave simétrica como criptografía de clave pública .

    
respondido por el game0ver 27.03.2018 - 16:49
fuente

Lea otras preguntas en las etiquetas