Perguntas sobre segurança 'gpg2'

Navegue suas respostas
2

Eu tenho algumas perguntas sobre a segurança do gpg / gpg2 usando criptografia simétrica. Eles são (eu imagino) muito básicos, então peço desculpas se eles estão documentados em algum lugar. O problema é que não sei o que procurar para encontrar as respostas.

  • Usando o gpg2 da seguinte maneira:

    gpg2 -c file.txt

    somente criptografa o arquivo usando a cifra padrão (CAST5) usando a chave Eu forneço apenas stdin , e nada que seja relacionado a minhas chaves RSA / SHA para meu usuário, por exemplo descriptografar o arquivo usando gpg2 em qualquer outra máquina com qualquer outro usuário estaria absolutamente bem? (Eu imagino obtê-lo para assinar o arquivo entra em o nitty-gritty disto, mas eu tenho não há interesse nisso.)

  • A página man diz que usar o argumento --cipher-algo viola o padrão OpenPGP; porque? O que há de errado comigo em configurá-lo para uma cifra diferente?
  • Eu tenho esse sentimento (provavelmente patético) de que o AES256 é o caminho a seguir para segurança máxima; Existem diferenças significativas, ou coisas que eu deveria estar ciente, na segurança entre ele e CAST5?
  • Por que assinar arquivos?

Qualquer ajuda seria muito apreciada!

    
por Doddy 14.02.2011 / 12:08

2 respostas

6

Using gpg2 in the following way: gpg2 -c file.txt only encrypts the file using the default cipher (CAST5) using the key I supply on stdin only, and has nothing whatsoever to do with my RSA/SHA keys for my user [...]

Correto.

The man page says that using the --cipher-algo argument violates the OpenPGP standard; why?

A manpage não diz isso, apenas diz que "permite violar o padrão OpenPGP". A razão é que sua versão de pgp2 pode suportar cifras que não fazem parte do padrão OpenPGP; se você usá-los, estará violando o padrão (e outros talvez não consigam descriptografar sua mensagem). Se você não usar a opção, pgp2 usará automaticamente uma cifra do padrão.

I have this (probably pathetic) feeling that AES256 is the way to go for maximum security; are there any significant differences, or things I should be aware of, in the security between it and CAST5?

Bem, a única coisa que você pode dizer com certeza sobre a segurança de uma cifra é se há algum ataque conhecido contra ela. Não há nenhuma (pelo menos nenhuma prática) contra o eiter AES-256 ou CAT-5, então ambos são considerados seguros. Qualquer coisa além disso é especulação.

Why sign files?

Assinar um arquivo prova que ele foi assinado pela pessoa que possui a chave privada na qual ele foi assinado. Isso fornece garantias de que os dados não foram adulterados; isso é geralmente independente da criptografia (o que garante que ninguém sem a chave possa ler a mensagem). Então os dois têm objetivos diferentes (embora eles sejam freqüentemente usados juntos).

Por exemplo: você criptografa um contrato para garantir que ele permaneça secreto; você assina um contrato para dar aos outros uma prova de que você leu e aprovou, e para impedir que outros o alterem.

    
por 14.02.2011 / 12:19
4

  • Correto. Apenas a chave e o algoritmo fornecidos são usados para criptografá-lo.

  • O OpenPGP não suporta todos os mesmos algoritmos que o GnuPG2; você pode criar uma mensagem perfeitamente válida que o destinatário não conseguirá ler.

  • AES-256 é supostamente um pouco mais strong, mas o CAST5 geralmente é bom o suficiente.

  • Para que possa ser provado que eles não foram adulterados.

por 14.02.2011 / 12:17

Tags

Como posso restringir scripts do Facebook? Como contornar a limitação de shell de 'Argument list too long'?