Se eu tiver uma senha muito strong para minha chave privada gpg, quão imprudente posso ser com meu diretório .gpg?

Navegue suas respostas
3

O título praticamente explica tudo: eu tenho uma senha muito strong (leia-se: muito ) para a minha chave privada. Quão imprudente posso estar com meu diretório .gpg? Em outras palavras, quantos bits de entropia eu precisaria na minha senha para postar com segurança meu diretório .gpg na web? Em outras palavras, qual é o grau de segurança do algoritmo de criptografia que protege minha chave secreta?

    
por fouric 12.01.2013 / 05:59

2 respostas

4

Esta não é uma declaração sobre a segurança de pares de chaves públicas ou criptografia gpg, mas entropia e senhas WRT, dada uma senha tirada do intervalo de caracteres alfanuméricos ASCII (AZ, az, 0-9), o número possível de combinações em 16 caracteres é: 

n = 62^16 = 47672401706823533450263330816

Se eu tiver sua chave e tentar "forçar a força" a senha, descascando todas essas possibilidades, 1 milhão de vezes por segundo, então: 

n / 1000000 / 3600 / 8760 = 1511681941489838

sendo 3600 o número de segundos em uma hora e 8760 sendo o número de horas em um ano, poderia , como no pior cenário, levar mais de 1.5e13 séculos (1.5 milhões de aeons) .

É por isso que é muito ingênuo acreditar que alguém tente quebrar uma senha dessa maneira. As senhas são importantes e as senhas strongs são melhores que as senhas fracas, mas ter "muito (leia: muito ) frase strong "não vai protegê-lo melhor de tentativas de roubar a senha, falsificar trocas, ou outros métodos que não são simplesmente sobre força bruta forçando a senha. Uma analogia pode ser o câncer - há pessoas que nunca fumaram, se alimentaram bem, se exercitaram, sempre usam protetor solar, etc., e ainda têm câncer. Isso não significa que você pode sair e comer plutônio.

    
por 12.01.2013 / 11:27
1

Eu sei que essa é uma pergunta antiga, mas como é muito importante ter uma resposta correta e, apesar de não ser especialista, responderei como um bom anúncio.

Não seja imprudente com chaves gpg, mesmo criptografadas!

As chaves privadas são criptografadas com um algoritmo simétrico. Isso é tão bom quanto parece. No entanto, um ataque de canal lateral (keylogger, por exemplo) irá contornar isso. Os ataques de canal lateral são cada vez mais sofisticados. Até mesmo o som que um computador faz durante a operação pode revelar uma chave.

Além disso, (e isso pode ser controverso), a maioria dos algoritmos criptográficos não é totalmente segura, exceto o one-time-pad (que exige que você use uma chave muito longa). Claro, ninguém encontrou grandes falhas ainda, mas ainda pode acontecer. A substituição polialfabética padrão foi considerada uma base strong, até que Kasiski, inventor do criptoanalista do século XIX, inventou sua análise. Além disso, os computadores quânticos estão se tornando cada vez mais prováveis, o que pode ou não oferecer recursos adicionais. A RSA já está provada vulgarmente para essas máquinas. E sim, eu sei que um algoritmo defeituoso significa criptografia quebrada, independentemente da segurança da chave, mas pelo menos a chave ainda poderia ser usada para assinatura. O que também potencialmente permite obter uma nova chave para outro algoritmo.

No geral, é melhor prevenir do que remediar.

    
por 21.01.2018 / 23:41

Tags

gnuplot perdeu o enredo Como converter * text * para {\ i text} com sed?