Criterios para seleccionar un generador PGP en línea

0

Al generar claves públicas / privadas para cifrar el correo electrónico: ¿existe una línea de pensamiento o razonamiento para seleccionar una ¿generador de claves en línea sobre el otro?

Cualquier sugerencia o edición que afine la pregunta es apreciada. Gracias.

ACTUALIZACIÓN

El consenso de respuesta reflexiva indica que uno debe poder confiar en el generador en línea y que no generará deliberadamente una clave débil ni registrará la salida y la enviará al actor malicioso.

El propósito del cifrado es proteger la información financiera y los borradores de patentes. ¿Se pregunta si comodo es digno de confianza? (tal vez esto debería ser una pregunta separada)

enlace

    
pregunta gatorback 22.08.2018 - 17:33
fuente

2 respuestas

3

La línea correcta de razonamiento es NO HACER . Simplemente hay demasiados problemas.

podría generarlo usando JavaScript y no enviarlo al servidor, pero el servidor envía el JavaScript, por lo que podría cambiar en cualquier momento (e incluso para usuarios específicos).

podría generarlo usando un buen CSPRNG, pero nuevamente, esto se puede cambiar para usar un PRNG de puerta trasera o débil en cualquier momento para cualquiera o todos los usuarios. En este caso, no habría ninguna solicitud de red para que lo notara, pero su clave sería fácilmente rompible.

podría estar utilizando un CSPRNG sembrado por el sistema, pero en cualquier momento se puede cambiar para usar un CSPRNG sembrado con un valor aleatorio conocido por el sitio web malicioso, en cuyo caso la clave ganó No seas débil, pero el sitio web lo sabrá de todos modos.

Solo genera claves con software de confianza. Como el sitio web envía JavaScript cada vez que lo visita, debe confiar en que el sitio web no se vio comprometido, no es malicioso y que los desarrolladores y mantenedores son competentes cada vez que lo visite . Sería preferible generar claves con una versión firmada de software bien conocido y de gran confianza, como GPG.

    
respondido por el AndrolGenhald 22.08.2018 - 18:07
fuente
1

No recomendaría el uso de ningún generador de claves en línea. Incluso si el sitio web genera las claves del lado del cliente, todavía es posible que envíe las claves a otra parte o utilice una generación de claves débil intencionalmente.

En su lugar, debe generar las claves sin conexión utilizando una herramienta PGP como GPG: enlace

    
respondido por el Mr. Llama 22.08.2018 - 17:58
fuente

Lea otras preguntas en las etiquetas