¿Qué tan peligroso podría ser publicar una clave pública? [duplicar]

37

Tal vez esta pregunta suene obvia, pero me pregunto qué tan peligroso podría ser publicar una clave pública para un sistema de cifrado asimétrico .

Sé que las claves públicas están diseñadas para cifrar los mensajes de cualquier persona que deba hacerlo, por eso incluso podemos descargar un certificado público de las CA más comunes desde los navegadores web.

¿Pero es seguro si publico mi clave pública en un servidor web para que cualquiera pueda descargarla? ¿A qué riesgos me enfrento al hacer esto?

Gracias.

    
pregunta nKn 28.03.2014 - 13:40
fuente

7 respuestas

61

Ninguna, por eso se llama clave pública. No se puede usar para acceder a nada cifrado para usted sin resolver problemas matemáticos que actualmente son prohibitivamente difíciles de resolver. Es posible que en el futuro sea posible resolver estos problemas y que la clave pública permita que los mensajes se descodifiquen, pero no existe una amenaza conocida actual.

La otra cara es que si no comparte su clave pública, entonces su clave privada no le hará ningún bien. La única razón para usar la criptografía asimétrica sobre simétrica es si necesita que alguien tenga su clave pública. De lo contrario, si solo estás haciendo cosas por ti mismo, simétrico es mucho más rápido y más seguro.

    
respondido por el AJ Henderson 28.03.2014 - 14:33
fuente
19

Solo para ampliar un par de bits de la información mencionada anteriormente, hay básicamente dos riesgos a considerar, ninguno de ellos relacionado con los algoritmos (estos son seguros).

Primero, es la fuga de datos incidentales. ¿Ejecuta slaterockandgravel.com como Sr. Slate pero tiene su clave firmada fflintstone@slaterockandgravel.com? ¿Firmó Betty tu llave y no quieres que el mundo lo sepa? Estos son casos poco probables, pero considérelos.

En segundo lugar, quizás más, es protegerse contra alguien que se encuentra en el medio de su sitio web y presentarle a su amigo una clave falsa para usted, que planean usar para interceptar sus comunicaciones. Otra vez es poco probable, pero hay dos cosas que puede hacer para evitar el problema: a) colóquelo en TLS -o-- b) (mejor) cargue su clave en un servidor de claves público (sks o similar) y solo coloque la ID de la clave en su sitio web (Incluso puede proporcionar un enlace web a los servidores web sks con una búsqueda de su ID de clave). La gente ya ha descubierto la distribución de claves, así que aproveche su trabajo.

Para la mayoría de estas cosas, probablemente no serás tú quien sea atacado de esta manera, pero será alguien, por lo que cada uno de nosotros debería actuar como si fuéramos nosotros, y luego tenemos una comunidad más segura. / p>     

respondido por el Bill McGonigle 29.03.2014 - 04:37
fuente
9

Pero, tienes para publicar tu clave pública para que las personas puedan cifrar los mensajes que están destinados a ti. Es por eso que debe publicar su clave pública y que sea firmada por personas que conoce (preferiblemente personalmente).

Para obtener más información: Web of Trust y Partes firmantes de claves

    
respondido por el nikolas asteri 28.03.2014 - 14:04
fuente
6

Los riesgos son de confianza. No intuitivamente, si no publica su clave, es fácil para alguien publicar su propia clave y reclamar que es suya. Una clave pública debe ser muy pública.

Su mejor defensa es asegurarse de que su clave esté firmada correctamente.

    
respondido por el John Deters 28.03.2014 - 13:48
fuente
4

El único riesgo de publicar su clave pública si su clave pública está firmada por otras personas y usted no desea revelar quién firmó su clave (ya que puede usarse para averiguar con quién ha hecho conexiones, de manera casual o íntima). ).

    
respondido por el Kevin Li 28.03.2014 - 21:09
fuente
1

En términos generales, en el cifrado hay dos tipos de información: información secreta e información pública.

Mantener la información secreta en secreto es como colocarla en la gran bóveda con una puerta grande en un banco grande como se ve en las películas.

Mantener en secreto la información pública es como poner un cartel en la puerta que dice "no robes mis cosas".

Es mejor asumir que la información pública es conocida por el mundo y no perder el esfuerzo de demasiado protegerla. Como se indicó en otra respuesta, puede tener sentido establecer protecciones básicas de autenticación. Si solo ciertas personas deberían poder enviarle mensajes, entonces tiene sentido instalar un sistema por el cual solo esas personas deberían tener acceso a su clave pública tiene sentido, aunque solo sea para reducir la posibilidad de que reciba mensajes falsos. mensajes que tendrá que descartar ... todavía tendrá que manejar el reconocimiento y el descarte de mensajes falsos, pero reducirá el potencial de tráfico.

    
respondido por el Jason 28.03.2014 - 21:56
fuente
1

Sí, teóricamente, los criptoalogoritmos asimétricos requieren que la clave pública se haga pública. Sin embargo, dependiendo del algoritmo en uso y la fuerza del algoritmo (número de bits utilizados, etc.), algunas de estas claves públicas pueden romperse para obtener la clave privada. Por ejemplo, si se está utilizando el sistema de cifrado RSA, generalmente se recomienda usar al menos 1024 claves de bit. Un poco menos y su criptosistema puede verse comprometido. Aun así, se recomienda utilizar claves de 2048 bits, ya que incluso las claves de 1024 bits se podrían resolver con las próximas computadoras potentes ( enlace ). Por lo tanto, no estaría muy preocupado por ello a menos que su solicitud sea para fines de alta seguridad como bancos, militares, etc.

    
respondido por el nitarshs 29.03.2014 - 10:59
fuente

Lea otras preguntas en las etiquetas