Como proteger os detalhes da chave PGP contra o snooped?

3

Não encontrei uma resposta para o seguinte.

Hipótese: Se alguém tiver acesso físico ao meu computador, como eu me certificaria de que eles (os que estão bisbilhotando) não encontrem meus detalhes do PGP ; como chaves ou endereços de e-mail vinculados a chaves?

A única e melhor solução é criptografar todo o seu disco rígido e esperar que sua senha seja strong o suficiente? Ou você pode simplesmente manter os detalhes da chave PGP ocultos em um volume criptografado e retirá-los quando quiser criptografar ou descriptografar alguma mensagem?

Eu não consegui provar o mais tardar.

    
por Theo 27.08.2015 / 10:46

1 resposta

1

Quanto a todas as questões relacionadas com infosec, a primeira coisa a considerar é quem é o atacante que você quer atenuar . Em seguida, elabore possíveis ataques que ele possa realizar e quanto esforço seus dados valem para ele.

Você nunca conseguirá provar segurança. Você precisa provar a segurança não apenas de todo o software em uso (incluindo o sistema operacional e o software aplicativo), mas também dos algoritmos de hardware e criptografia em uso. Neste momento, a ciência ainda luta para provar pequenos trechos de software, longe de provar o GnuPG ou aplicativos similares.

Tudo o que você pode fazer é considerar vetores de ataque possíveis (conhecidos e esperados), selecionar o valor de suas informações para o invasor e aplicar medidas de contador apropriadas. Para obter um máximo de segurança, considere o uso de uma máquina off-line não conectada a nenhuma rede de computadores dentro de um cofre protegido. Não parece apropriado? Muito provavelmente não é, mas você terá que escolher entre conveniência (e custo-benefício) e segurança.

Disco Rígido Criptografado

Todos juntos, nem mesmo criptografando seu disco rígido estarão seguros, se você colocar sua máquina em modo de espera e o invasor for capaz de ler a memória (com grande esforço), ou mesmo modificar / backdoors seu hardware ( ou simplesmente pega a máquina de corrida enquanto ela está desbloqueada). O software malwared obviamente também irá expor suas chaves privadas.

Criptografar seu disco rígido, incluindo espaço para troca, provavelmente é suficiente contra a maioria dos invasores.

Diretório Inicial do GnuPG criptografado

Se você quiser ter certeza de que um invasor "casual" (sem suporte especial de hardware, não muito mais profundo do que o conhecimento de TI "off-the-shelve") ou ladrão de seu computador não tenha acesso às informações armazenadas em seu computador Chaveiro do GnuPG, um volume criptografado deve ficar bem. Possíveis vetores de ataque que posso imaginar:

  • arquivos temporários restantes
  • seu armazenamento de e-mail, que contém e-mails criptografados / assinados
  • malware que acessa seu chaveiro enquanto ele está desbloqueado / farejando sua frase secreta
  • usuários admin acessam seu chaveiro enquanto ele está desbloqueado / farejando sua frase secreta
  • ...
por Jens Erat 05.09.2015 / 13:03