¿Qué tan seguro es el cifrado simétrico de GPG?

Navega tus respuestas
7

Como soy nuevo en el cifrado y recientemente he estado perdiendo cosas, decidí comenzar un archivo que contiene algunas contraseñas para las cuentas en línea y otras cosas, cifrarlo, hacer una copia de seguridad (y guardar una copia única en Google Drive ... El almacenamiento en .cloud me parece inseguro.)

Me estaba preguntando acerca del uso de GPG.

¿Es el algoritmo predeterminado, CAST5, suficiente? gpg -c file lo usa

¿Existe alguna posibilidad de que Google pueda romper mi archivo? Utiliza una contraseña larga que parece segura.

¿Debo agregar información adicional para que actúe como "entropía adicional"? Tal vez dd if=/dev/random >> file

Y la pregunta más importante ... es que GPG es incluso adecuado para este trabajo: cifrar archivos de texto básicos. ¿Existe una mejor opción segura mroe o una opción más rápida?

    
pregunta user50625 09.07.2014 - 01:05
fuente

1 respuesta

5

CAST-5 aka CAST-128 es una excelente elección de algoritmo. Probablemente no haya tenido tanto criptoanálisis como, por ejemplo, AES, pero no hay debilidades significativas conocidas públicamente en el algoritmo. Es un cifrado de 128 bits, que es computacionalmente inviable para la fuerza bruta, por lo que toda la seguridad depende de la seguridad de su frase de contraseña. GPG realiza una técnica conocida como "estiramiento de teclas" (ver las opciones de s2k) para hacer que sea más difícil también forzar las frases de contraseña de fuerza bruta.

GPG es una excelente herramienta para cifrar archivos de texto, para eso está diseñado. (Cifre bloques de datos arbitrarios). Puede usar un administrador de contraseñas si prefiere que sus datos estén estructurados / administrados por usted, o seleccione algo que se conecte a su navegador.

  

¿Debo agregar información adicional para que actúe como "entropía adicional"? Tal vez dd if=/dev/random >> file

Esto no servirá de nada. Los algoritmos criptográficos modernos no dependen de ninguna entropía presente en el texto simple, sino solo en la clave que se está utilizando. Un ataque de texto simple conocido en un cifrado lo haría muerto desde un punto de vista de criptografía, por lo que no debería ser su preocupación.

    
respondido por el David 09.07.2014 - 01:49
fuente

Lea otras preguntas en las etiquetas

Autorización OAuth2: ¿guardar el token en las cookies o en la sesión? ¿Es la clave de la API de Google una información confidencial que debe protegerse?