Recibiendo una respuesta que está encriptada con PGP

Navega tus respuestas
1

Trabajo como ingeniero de software, pero con experiencia limitada en criptografía. Tengo un problema práctico, no tanto una cuestión técnica, relacionada con un intercambio de correo cifrado con PGP que he tenido. Últimamente, he descubierto, por propia iniciativa, una falla en la interfaz de inicio de sesión en la web de un banco, una falla que planeo no revelar más en público.

El banco en cuestión cuenta con un programa de divulgación responsable en el que cualquier persona puede informar problemas por correo electrónico, dado que el mensaje (cuerpo) en el correo está cifrado usando una clave pública PGP proporcionada. Como tal, he formulado el informe y cifrado el mensaje (versión: BCPG C # v1.6.1.0), y he enviado el mensaje PGP desde Gmail.

Varios días después, recibí una respuesta en Gmail sin cuerpo de correo, pero con 3 archivos adjuntos:

  • 1 archivo sin formato que contiene un mensaje PGP
  • 1 archivo sin formato que solo contiene "Versión: 1"
  • 1 archivo .eml que presenta metadatos y, nuevamente, el mensaje PGP que creo que es la respuesta. Vea el adjunto a continuación.

Sin embargo, estoy desconcertado por cómo debería descifrar su respuesta, por el simple hecho de que pierdo la clave privada. Además, en mi informe inicial no propuse un medio nuevo para la comunicación futura o mi propia clave pública para permitirles responder. He respondido con un nuevo mensaje, encriptado nuevamente usando su clave pública de PGP, pero no he recibido ninguna respuesta desde hace semanas.

Por último, he intentado enviar su mensaje a través de enlace para (al menos) verificar los contenidos de la información del bloque de teclas pero recibir un "formato de paquete no válido".

¿Qué me estoy perdiendo? Tal vez una falta fundamental de conocimiento en mi extremo me hace supervisar algo? La orientación o consejo aquí es más que bienvenido.

Contenido de los archivos adjuntos de EML:

    
pregunta e-sushi 22.07.2018 - 17:42
fuente

3 respuestas

1

Debería haber sido cifrado usando tu clave pública, así que simplemente descifra con tu clave privada.

    
respondido por el SAI Peregrinus 22.07.2018 - 18:19
fuente
1

Usando el keyid descubierto por @ dave_thompson_085 mirando los encabezados de paquetes PGP - 674bddefe7b2c6ae - podemos encontrar el propietario de la clave: 

gpg --search 674bddefe7b2c6ae
gpg: data source: http://zimmermann.mayfirst.org:11371
(1) [email protected] <[email protected]>
    2048 bit RSA key 5F19FCCE, created: 2013-08-29

Entonces, asumiendo que este es el banco al que escribiste en primer lugar, parece que su respuesta está encriptada a su propia clave. Hay varias explicaciones:

  1. Es una copia de su propio correo electrónico original para ellos
  2. Se equivocaron y cifraron la respuesta a usted utilizando su propia clave

Un comando útil para que usted investigue el mensaje cifrado es usar la herramienta de línea de comandos gpg (puede obtener una versión de Windows). Guarde el mensaje cifrado (incluidas las partes ----- BEGIN y ----- END) en un archivo .asc y ejecute: 

gpg --list-packets message.asc

Enumera todas las claves a las que se encripta el mensaje. Estos serían los ID de subclave, por lo que, para encontrar el propietario de la clave, deberá ejecutar gpg --search [subkey-id] como en mi ejemplo anterior para saber a quién pertenece la subclave.

    
respondido por el mricon 23.07.2018 - 17:04
fuente
0

Su comentario alude a la fuente de tu confusión (cita, énfasis mío):

  

Sí, si hubiera proporcionado una clave pública. Pero como dije en mi mensaje, no les proporcioné uno en mi informe inicial. No asumí que fuera necesario ya que los pasos para la divulgación indicaban: 1) Debería usar su PGP público para cifrar mi mensaje y 2) "darían una respuesta dentro de un par de días". Mi pregunta es que, dado que ahora me proporcionaron una respuesta cifrada, ¿qué se podría haber utilizado para cifrarla?

Debe saber que el software GPG / PGP tiende a sincronizar sus claves públicas y las direcciones de correo electrónico relacionadas con servidores como pgp.mit.edu , pool.sks-keyservers.net o keys.gnupg.net .

Si su clave pública está efectivamente sincronizada y almacenada en esos servidores de claves, el empleado del banco que maneja su informe podría simplemente haber buscado su clave pública al buscar los servidores de claves en su correo electrónico, o dejar que su / su su software GPG / PGP maneja la búsqueda automáticamente.

Ejemplo práctico de hágalo usted mismo

En la mayoría de los casos, el software GPG / PGP maneja dichas búsquedas automáticamente, pero también puede hacerse manualmente. Este es un ejemplo práctico de cómo se puede encontrar manualmente mi clave pública:

  1. Visite (por ejemplo) enlace e ingrese la dirección de correo electrónico que desea consultar. En este caso, tomaré uno de los míos ...

      

  2. Lapáginaderesultadosmostraráunalistadetodaslasclavespúblicasconocidas(incluidaslasrevocadas)relacionadasconesadireccióndecorreoelectrónicoespecífica.

      

  3. Hagaclicenelenlacequeapuntaalaclavepúblicanorevocada(enestecaso23D47011)paraencontrarlaclavepúblicarelacionada.

      

Como puede ver, es fácil encontrar mi clave pública sin que tenga que reenviarla yo mismo. La gente y el software pueden simplemente buscarlo ellos mismos.

Nunca subí activamente esa clave al servidor de claves por interacción del usuario. El software que uso lo hizo por mí ... y tu software probablemente habrá hecho lo mismo por ti. En caso de duda, busque su propia dirección de correo electrónico para verificar si ese es el caso.

TL; DR

Si su clave pública está disponible públicamente en los servidores de claves (lo cual es muy probable que sea), entonces es donde los empleados del banco obtuvieron su clave pública, y usted debería poder descifrar sus mensajes. utilizando su clave privada relacionada (que solo usted conoce).

    
respondido por el e-sushi 23.07.2018 - 02:31
fuente

Lea otras preguntas en las etiquetas

¿Es seguro el sistema operativo de alojamiento para piratas informáticos de inyección de SQL ocultando el ID de administrador? ¿Almacenar números de tarjeta de crédito en el administrador de contraseñas?