¿Se utiliza su frase de contraseña de PGP para descifrar una clave privada cifrada, o se necesita junto con la clave privada para descifrar el mensaje?

7

Si es el primero, entonces si la clave privada se puede usar para firmar digitalmente los mensajes, ¿por qué su cliente no ofrece cifrar este dato altamente sensible?

Si es lo último, entonces, si alguien tuviera acceso solo a tu clave privada, ¿podrían descifrar todos tus mensajes?

Gracias de antemano, no he podido encontrar una respuesta clara.

    
pregunta Mike Gallagher 28.04.2012 - 14:35
fuente

2 respuestas

2

Al final, es su pregunta: "¿Debo cifrar mi clave privada cuando me la envío por correo electrónico a mí mismo, o hago una copia de seguridad en el almacenamiento en la nube, o en algún otro lugar?"

Entonces la respuesta es sí: encripte absolutamente su Clave Privada PGP antes de "respaldarla" en algún lugar (también encripte los Certificados de Revocación pre-generados).

Un ejemplo para crear un archivo .gpg armado ASCII cifrado, a partir de un archivo .asc de clave privada de texto simple:

gpg --symmetric --cipher-algo=AES256 -a -o 20141022.PGP.66H049E4.prv.gpg 20141022.PGP.66H049E4.prv.asc 

Use una utilidad de eliminación como, "destruir", para eliminar el archivo de clave .asc original, de lo contrario se puede recuperar.

La clave privada no se puede utilizar sin la contraseña. Sin embargo , esa Contraseña es completa mucho más fácil de descifrar que la Clave Privada en sí misma.

Hay un par de árboles de ataque empleados para aprovechar las claves privadas sin cifrar / no encriptadas:

  1. Ataque de fuerza bruta: cuando intentamos "descifrar" un correo electrónico cifrado con PGP, no intentamos forzar la clave de PGP, especialmente si tenemos una copia de la clave privada a la mano. a.) En su lugar, lo que hacemos es someter la clave privada, a un ataque de fuerza bruta, para obtener la contraseña. b.) Con esa contraseña, luego usamos la clave privada para descifrar mensajes, un árbol de ataques mucho más eficiente.
  2. Suplantación, acoso: Una clave privada no cifrada se puede "Importar" en una tienda PGP (GPG, Kleopatra, Windows, etc. a.) Esto crea la apariencia de que una persona en particular usó un dispositivo específico. En Forensic Information Investigation, una clave privada en una máquina cargada en una máquina es una prueba bastante convincente, pero no es concluyente, de que una persona haya utilizado un dispositivo; Además, b.) Las claves públicas se pueden exportar, sin la contraseña, (pero las Claves de revocación no pueden). Al final, puede simular con éxito una "huella" de un usuario en un sistema en particular, falsificar correos electrónicos de ellos con una clave pública adjunta, etc.

Usar una contraseña segura de clave privada es la mejor práctica y frustrará los ataques de fuerza bruta intensos.

    
respondido por el elika kohen 23.10.2014 - 15:09
fuente
5

El primero. Su clave privada PGP se almacena en su disco en forma cifrada. En particular, se cifra mediante su frase de contraseña.

Para descifrar un archivo, PGP necesita (1) su frase de contraseña y (2) el archivo de clave privada cifrada; a partir de estos puede reconstituir su clave privada, y luego descifrar el archivo. Ninguno de los dos es suficiente para usar un archivo de clave privada cifrada.

Para responder a su pregunta, su cliente cifra su clave privada. Se almacena en su disco en forma cifrada.

(Supongo que está utilizando un cifrado de clave pública, no un cifrado convencional).

    
respondido por el D.W. 29.04.2012 - 02:18
fuente

Lea otras preguntas en las etiquetas