¿Cómo se puede exportar una clave OpenPGP encriptada con MD5 sin ingresar la contraseña?

Navega tus respuestas
0

Estoy estudiando criptografía y tengo una pregunta sobre la herramienta GnuPG para Windows.

Por lo que entiendo, se utiliza una frase de contraseña para codificar con MD5 la clave RSA privada. Pero cuando uso la herramienta Kleopatra, me permite exportar mi clave privada sin pedir la contraseña. ¿Qué está pasando?

    
pregunta JoulinRouge 09.02.2016 - 15:46
fuente

2 respuestas

3

Claves privadas cifradas en OpenPGP

Generalmente en OpenPGP y específicamente también en GnuPG, las claves privadas se pueden cifrar con una clave simétrica derivada de una frase de contraseña. Para obtener la clave simétrica (clave de sesión), se utiliza una cadena a clave . Normalmente se utiliza el S2K iterado y salado :

  

La sal se combina con la frase de contraseña y el valor resultante se revisa repetidamente.

Los otros métodos incluyen un hash simple y un hash salado. El algoritmo de hash también se puede elegir, mientras que MD5 está permitido, no debe usarse ya que se considera débil. También se puede elegir el algoritmo de cifrado simétrico, mientras que los valores predeterminados dependen de la implementación de OpenPGP que utilice.

Probablemente obtuviste información para versiones antiguas de PGP, que solo usaba MD5 simple:

  

Las versiones anteriores de PGP solo almacenaban un octeto de algoritmo de cifrado precedente      los datos secretos o un cero para indicar que los datos secretos estaban      sin cifrar La función hash MD5 siempre se usó para convertir      frase de contraseña a una clave para el algoritmo de cifrado especificado.

Exportar claves privadas cifradas sin ingresar la frase de contraseña

Si Kleopatra puede exportar la clave privada de todos modos, pueden existir varias razones:

  • exporta la copia encriptada de la clave privada,
  • la frase de contraseña para la clave se almacena en gpg-agent o
  • la frase de contraseña se almacena en otro lugar (lo que no hace Kleopatra, pero sí lo hacen otros administradores de llaveros gráficos, como el llavero de GNOME).
respondido por el Jens Erat 09.02.2016 - 16:53
fuente
0

Las claves privadas se codifican de acuerdo con el OpenPGP Standard . MD5 no se usa en GPG ya que es insegure . GPG utiliza una derivación de clave basada en contraseña llamada S2K iterado y salado Define cómo se almacena una clave. Se pueden usar varios hashes aquí, y esto es muy probablemente lo que quieres decir con MD5, aunque no se use en las implementaciones modernas de GPG.

Dado que Kleopatra es una herramienta de administración de claves, ya tiene acceso a sus claves o su clave privada ha sido almacenada sin usar una frase de contraseña.

    
respondido por el AdHominem 09.02.2016 - 16:46
fuente

Lea otras preguntas en las etiquetas

Nuestros usuarios reciben una alerta de troyano en nuestro sitio, pero nosotros no. qué hacemos? Supervisar el tráfico que está pasando por mi enrutador