Las preguntas de seguridad son bien conocidas / ampliamente consideradas para disminuir la seguridad o crear otros problemas (por ejemplo, recordar las malas palabras), pero a veces se me exige que las responda y las responda. Si bien eso se ha discutido muchas veces antes, así que no voy a repetir el debate aquí, soy un fanático de las contraseñas que son seguras y pueden ser (re) generadas fácilmente, así que lo que me gustaría hacer es responder a preguntas de seguridad con una parte de mi firma pgp para las preguntas en sí. Sin embargo, esto me deja con dos problemas de los que no estoy seguro:
- si me falta algo que pueda hacer que esto sea menos seguro o menos reproducible (diferentes versiones de gpg o algoritmos predeterminados, etc.) de lo que podría pensar que es, y
- desde donde se extrae la porción de la firma, considerando algo como el encabezado pgp y el hecho de que la firma completa es demasiado larga para usar de manera realista.
Actualmente, si uso echo -n 'What is the air speed velocity of an unladen swallow?' | gpg -s --clearsign
, obtengo:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
What is the air speed velocity of an unladen swallow?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1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=jh/a
-----END PGP SIGNATURE-----
Lo que me gustaría hacer es tomar tal vez un fragmento de la firma de 16 caracteres para usar como mi respuesta que estaría en una ubicación consistente y fácil de encontrar, de modo que pueda reproducir de manera confiable mis respuestas a todas las preguntas de seguridad futuras, pero ¿Dónde debería estar eso? Al menos los primeros 18 caracteres parecen ser los mismos independientemente de la entrada, pero eso solo no es suficiente para convencerme de que simplemente deseche los primeros 18 y use los siguientes 16.
¿Alguien puede abordar las dos preocupaciones anteriores?
ACTUALIZAR
Esta pregunta originalmente se basaba más en la percepción de PGP como la solución potencial a mi problema, que se demostró que no era adecuada para el requisito de reproducibilidad. Sin embargo, todavía me gusta la idea de tratar preguntas de seguridad similares a la autenticación de desafío-respuesta con los beneficios de seguridad que generalmente se obtienen a través de los enfoques PKI (por ejemplo, verificabilidad, no repudio, etc.). En ausencia de tal solución, HMAC puede ser una alternativa viable, pero se reduce a ser más que una simple contraseña (algo que sé) en lugar de una respuesta verificable públicamente basada en algo vinculado a mi identidad como una clave (algo que tengo). ). Si bien esta no es una pregunta del AMF, me gustaría saber si hay algún otro enfoque posible que pueda acercarme más a lo que había imaginado.