clave pública SSH RSA de 2048 bits vs texto AWS KMS encriptado en el control de fuente

Navega tus respuestas
1

Estoy intentando averiguar qué tan aceptable es enviar claves de API cifradas con KMS al control de fuente. Es (creo) que a menudo se considera aceptable enviar claves públicas al control de origen. Entonces, para tratar de comparar esto ...

Desde una clave pública RSA SSH de 2048 bits:

  

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCdvc0yfmzJrChkfji4n4kLFVaBBvs7Dkx9UnspvY2FU4m7dUh1x7e + EAVCsXpO59Q1pJ4uJRvQJSS2eXvt1fLoRFemvVbcxO97DkljzUAdLIdv5 + 8AAEr4wluIkKV5Pt3mnrqgyP0r9hmb8OGp2J1uejEZhJ5POlmqi2e40LYb0IU4ajm3ntrXIfm7gkSxWjJW4glA4 / 2wd7AgiuSEitrV2S1RQBagHkRWFGi8CbtduXQeXW / BVtru0lZykCPtpzl39UQmuwzc + qgkT8fXmXTpocUURwYrSuky49eRrfepzR4cio1s / D4HrRhZ / 2 / EM / q + SaPNoNas9QjHWeyWEk53 [email protected]

y una cadena cifrada con AWS KMS, que tenía 40 caracteres en texto sin formato:

  

AQICAHh3zfBq68IrUAP7QND8usbFznzDgT4C9Y3RnCqLOHGEpQHVWukfLRjVSHSgQaPDi1TPAAAAhzCBhAYJKoZIhvcNAQcGoHcwdQIBADBwBgkqhkiG9w0BBwEwHgYJYIZIAWUDBAEuMBEEDOjRSAkJHX2LtJ4HbwIBEIBDDTeGCBzhm13tJYLkBK / 5EEsBhwG2Q8IzrUMfbBbrmbjtmZSULlXLnACctUaMNg + OuZFpNAkxqdIbE621UcZ6MtEDNw ==

¿Qué es más difícil: encontrar la clave privada a partir de la clave pública o descifrar la cadena de 40 caracteres? ¿Cuánto tiempo tomaría cada uno, dado, digamos, un solo núcleo moderno?

¿Qué tan diferente sería si la clave SSH fuera 4096 bits?

    
pregunta Michal Charemza 13.02.2018 - 22:16
fuente

1 respuesta

4
  

¿Qué es más difícil: encontrar la clave privada a partir de la clave pública o descifrar la cadena de 40 caracteres? ¿Qué tan diferente sería si la clave SSH fuera 4096 bits?

Creo que estás haciendo la pregunta incorrecta. XKCD obligatorio :

Para todos los propósitos prácticos, los hacks son el resultado de hackers que obtienen acceso de root al servidor o datos debido a contraseñas débiles o software no parcheado. Casi nunca es el caso que se rompe el cifrado.

La pregunta que debe hacerse es: ¿qué método tiene más riesgo de revelar los datos a través del compromiso del servidor, la amenaza interna o algún accidente negligente? es decir, ¿cuál de los siguientes tiene mayor confianza en permanecer seguro?

  • un blob de datos que solo puede ser descifrado por AWS KMS, o
  • un archivo de clave privada almacenado < donde hayas almacenado tu clave privada >

AWS KMS es generalmente una buena solución, a menos que su cuenta de AWS tenga muchos administradores, o le preocupe que los empleados de AWS tengan acceso, o que los datos que están protegidos por esa clave tengan problemas legales de residencia de datos, etc.

    
respondido por el Mike Ounsworth 13.02.2018 - 22:32
fuente

Lea otras preguntas en las etiquetas

¿Puede una página web rastrear la fuente / webarchivo de la página? ¿Se define crimeware por algo que no sea la intención?