pgp desencriptación en una PC pública

0

Cuando quiero descifrar correos en una PC pública (cafetería), encriptada con GPG, por ejemplo. gmail con la extensión "Mailvelope" o igual: ¿cómo sería posible?

Encontré herramientas para ejecutar desde una memoria USB donde necesitas guardar el llavero y la herramienta. Para "Mailvelope" necesito importar las claves (también la clave privada) para descifrar. ¿Qué tan seguro es, para importar una clave privada allí? ¿No está asegurada la clave por mi contraseña? ¿Qué podría hacer la gente con mi priv. solo la clave?

    
pregunta Alexander 20.08.2013 - 15:03
fuente

2 respuestas

5

Tan pronto como descifre los datos en la PC pública, debe tener en cuenta que se ha roto. Podría ser relativamente seguro usar una PC de este tipo para descargar esos datos en una memoria USB (suponiendo que no esté infectando esa vara con algún tipo de malware en ese momento - otro problema) pero no es absolutamente seguro descifrar sus datos en dicho PC.

Proteger tu clave privada con una frase de contraseña no te otorga ninguna garantía: en una máquina pública, estás a solo un keylogger lejos de perderla con los chicos malos.

En cuanto a lo que podría hacer alguien con su clave privada sin la contraseña, bueno, pueden intentar un ataque sin conexión para intentar recuperarla. Si su frase de contraseña es lo suficientemente larga y compleja, eso podría hacer que este ataque sea poco práctico, pero recuerde que, como mínimo, la potencia de la CPU siempre aumenta y que un atacante que tiene su clave privada cifrada es libre de usar tantos sistemas en paralelo como quiera. quiere romperlo.

Entonces, a menos que lo único que quieras proteger sea tu diario privado de tu hermano menor, no descifraría nada sensible en una máquina pública (o lugar) si fuera tú.

    
respondido por el Stephane 20.08.2013 - 15:21
fuente
1

Cualquier PC pública podría estar llena de malware de análisis de tráfico, registradores de teclas y otras piezas de software nefasto. En particular , si conecta una llave USB en la PC y ejecuta algún código desde esa clave, entonces acaba de demostrar que la PC está configurada para realmente permitir ejecutando software arbitrario desde llaves USB: la probabilidad de que la PC esté "limpia" es, en ese momento, abismalmente baja.

Esto es cierto para sus claves PGP, pero también para cualquier contraseña de autenticación que escriba en la máquina. Para obtener el correo electrónico cifrado con PGP en primer lugar, entonces probablemente deba conectarse a su correo web, que requerirá una contraseña. Si escribiste la contraseña, entonces estás tostado.

Personalmente, nunca uso una PC pública para hacer cualquier cosa que no sea inherentemente pública. Usaré esa máquina para buscar mapas e información de sitios web, pero no para acceder a mis datos privados, y eso incluye mis correos electrónicos.

Sin embargo,

lo que podría funcionar sería una computadora personal (por ejemplo, un teléfono inteligente) que se conecta a través de USB en la PC pública y presenta algún software que, cuando se ejecuta, ejecuta un proxy de red El teléfono inteligente, que se encarga de codificar y decodificar paquetes en algún protocolo personalizado basado en USB. En esencia, esto convertiría a la PC pública en un punto de acceso de red glorificado, en el que no se debe confiar siempre y cuando solo se usen protocolos "seguros" desde la computadora personal (SSL, SSH ...). No tengo conocimiento de una implementación disponible, pero teóricamente funcionaría, al menos mientras la PC pública permita ejecutar software personalizado desde una llave USB insertada.

    
respondido por el Tom Leek 21.08.2013 - 17:01
fuente

Lea otras preguntas en las etiquetas