¿Es posible usar PFS con un mensaje PGP?
$ gpg2 --encrypt --armor --something? --something? -r [email protected]
PFS con GPG probablemente no sea posible; de lo contrario, todos lo estarían usando, ¿no? Pero pensé que lo pediría de todos modos.
¿Es posible usar PFS con un mensaje PGP?
$ gpg2 --encrypt --armor --something? --something? -r [email protected]
PFS con GPG probablemente no sea posible; de lo contrario, todos lo estarían usando, ¿no? Pero pensé que lo pediría de todos modos.
El secreto de reenvío se produce cuando borra todas las copias de una clave que existen en cualquier parte del mundo, convirtiendo así todas las comunicaciones pasadas encriptadas con esa clave en basura opaca (hasta un momento en que los algoritmos / computadoras son capaces de descifrar la clave). El secreto de reenvío requiere que configures claves temporales que son imposibles de encontrar para alguien (incluyéndote a ti mismo) más adelante.
Si desea hacer el secreto hacia adelante con GPG, aquí hay un par de opciones:
En cada caso, configura una ventana de tiempo finita (puede ser muy breve en el último caso) durante el cual puede leer el mensaje. Luego, descartas la clave y comienza tu secreto hacia adelante.
Es esencial que la clave privada sea irrecuperable. Esto requiere un poco de cuidado. Lo ideal es que su clave temporal solo permanezca en la memoria RAM de su computadora o en un pedazo de papel inflamable, porque una vez que llega al disco duro, es muy difícil asegurarse de que todas las copias se eliminen. Desafortunadamente, el software GPG generalmente requiere que las claves secretas se almacenen en un archivo de redacción. O bien A) crea un anillo de llaves GPG temporal en un ramfs, o B) guarda en tu disco pero usa una frase de contraseña aleatoria muy fuerte que descartarás. (No almacene esta frase en un editor de texto; no use tmpfs - su memoria puede ser cambiada a un disco duro)
Si el mensaje es muy confidencial, debe tomar precauciones similares para eliminar todas las copias del texto claro o eliminar las partes incriminatorias, después de descifrarlo. Si desea una autenticación denegable, ese es un tema aparte y requiere cierta atención.
Si ninguna de las opciones anteriores suena como perfect retransmitir, muy mal --- ¡eso es tan bueno como se incluye en cualquier protocolo! El secreto hacia adelante requiere que usted tenga plena confianza en su hardware y software durante todo el tiempo en que su clave temporal esté activa. Solo garantiza que está protegido si elimina su clave antes de que su configuración esté comprometida.
Lea otras preguntas en las etiquetas encryption forward-secrecy email gnupg pgp