Sembrando GPG keygen con un secreto de hash [duplicado]

2

Me preguntaba si ustedes podrían darme cuenta de posibles problemas con el uso de una contraseña con hash como el generador de claves de GPG. En cuanto a por qué alguien querría hacer esto, puedo ver dos ventajas:

  1. El uso de una contraseña memorable para el usuario eliminaría la necesidad de almacenar la clave en el disco, protegiéndolo contra el robo de identidad en caso de robo de datos.
  2. Como la memoria del usuario contiene todo lo necesario para regenerar la clave, no debe preocuparse por la pérdida de datos [electrónicos]. La demencia todavía se aplica.

Como señaló Stephen, la razón 1 es débil porque las claves RSA protegidas con contraseña también tienen ese beneficio. Y la RAM aún sería vulnerable, pero eso es mucho más difícil de obtener, ¿no? Pero suponiendo que las personas no sean muy buenas para hacer copias de seguridad (no lo son) y la razón 2 es válida, ¿existen problemas sistémicos potenciales con el uso de un hash como semilla de RNG?

    
pregunta Calder 20.10.2012 - 04:54
fuente

1 respuesta

0

Las contraseñas digeridas solo tienen tanta entropía como la contraseña que se pasa a la función de hashing. GPG utiliza fuentes criptográficas de números aleatorios para generar la clave privada y la cifra con la contraseña de un usuario. Esto garantiza que los algoritmos de cifrado puedan usar una clave con la máxima entropía, pero también evita que la clave de un usuario se vea comprometida en caso de robo de datos.

Es lo mejor de ambos mundos, realmente.

    
respondido por el Stephen Touset 20.10.2012 - 06:46
fuente

Lea otras preguntas en las etiquetas