¿Usando PFS con GnuPG?

Question

¿Usando PFS con GnuPG?

#1 de Nanite (1 votos)

1

¿Es posible usar PFS con un mensaje PGP?

$ gpg2 --encrypt --armor --something? --something? -r [email protected]

PFS con GPG probablemente no sea posible; de lo contrario, todos lo estarían usando, ¿no? Pero pensé que lo pediría de todos modos.

encryption forward-secrecy email gnupg pgp

pregunta user144029 05.04.2017 - 23:07

fuente

1 respuesta

Lea otras preguntas en las etiquetas encryption forward-secrecy email gnupg pgp

El sitio web está bajo ataque, cómo tratar las solicitudes constantes ¿cómo arreglárselas cuando el AP impide que los clientes se vean entre sí?

score 1 · Answer 1

El secreto de reenvío se produce cuando borra todas las copias de una clave que existen en cualquier parte del mundo, convirtiendo así todas las comunicaciones pasadas encriptadas con esa clave en basura opaca (hasta un momento en que los algoritmos / computadoras son capaces de descifrar la clave). El secreto de reenvío requiere que configures claves temporales que son imposibles de encontrar para alguien (incluyéndote a ti mismo) más adelante.

Si desea hacer el secreto hacia adelante con GPG, aquí hay un par de opciones:

Opción 1 : libere subclaves de corta duración públicamente, por ejemplo, una vez cada dos semanas. Las personas que quieran enviarle material cifrado deben utilizar el más reciente.
Opción 2 : solo publica una clave de firma, por lo que la gente tiene que preguntar "Oye, quiero enviarte algo cifrado, ¿cuál es tu clave de cifrado?". Luego responde con una clave pública de uso único (firme esto con su clave de identidad para evitar el ataque MitM).

En cada caso, configura una ventana de tiempo finita (puede ser muy breve en el último caso) durante el cual puede leer el mensaje. Luego, descartas la clave y comienza tu secreto hacia adelante.

Es esencial que la clave privada sea irrecuperable. Esto requiere un poco de cuidado. Lo ideal es que su clave temporal solo permanezca en la memoria RAM de su computadora o en un pedazo de papel inflamable, porque una vez que llega al disco duro, es muy difícil asegurarse de que todas las copias se eliminen. Desafortunadamente, el software GPG generalmente requiere que las claves secretas se almacenen en un archivo de redacción. O bien A) crea un anillo de llaves GPG temporal en un ramfs, o B) guarda en tu disco pero usa una frase de contraseña aleatoria muy fuerte que descartarás. (No almacene esta frase en un editor de texto; no use tmpfs - su memoria puede ser cambiada a un disco duro)

Si el mensaje es muy confidencial, debe tomar precauciones similares para eliminar todas las copias del texto claro o eliminar las partes incriminatorias, después de descifrarlo. Si desea una autenticación denegable, ese es un tema aparte y requiere cierta atención.

Si ninguna de las opciones anteriores suena como perfect retransmitir, muy mal --- ¡eso es tan bueno como se incluye en cualquier protocolo! El secreto hacia adelante requiere que usted tenga plena confianza en su hardware y software durante todo el tiempo en que su clave temporal esté activa. Solo garantiza que está protegido si elimina su clave antes de que su configuración esté comprometida.