id: Гость   вход   регистрация
текущее время 04:50 29/03/2024
Автор темы: Вий, тема открыта 02/01/2006 07:00 Печать
http://www.pgpru.com/Форум/РаботаСGnuPG/ХранениеКлючей
создать
просмотр
ссылки

Хранение ключей


Здравствуйте!
Есть идея хранить файлы ключей на сменном носителе (например CD), что бы было меньше вероятности кражи секретного ключа программой шпионом. Т.е. на винчестере ключ не хранится совсем, а на то время, когда ключ нужен для использования диск вставляется в привод на небольшое время. Эта же идея на мой взгляд актуальна и для PGP.
Можно ли как-то реализовать эту идею?


 
На страницу: 1, 2, 3 След.
Комментарии
— Lustermaf (02/01/2006 15:32)   профиль/связь   <#>
комментариев: 225   документов: 8   редакций: 2
Вий, можно. Путь до папки с ключами и настройками GnuPG указывается через реестр или системную переменную:
[quote:dff4cfca6c="GnuPG 1.4.2 README-W32.txt"]Home directory:
=
[...]
Being only a default, it may be changed by setting the name of the home directory into the Registry under the key HKEY_CURRENT_USER\Software\GNU\GnuPG using the name "HomeDir". If an environment variable "GNUPGHOME" exists, this even overrides the registry setting. The command line option "--homedir" may be used to override all other settings of the home directory.

]>
Потом дайте команду gpg --version и проверьте значение Home:.
— Вий (04/01/2006 18:28)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Спасибо! :)
— az (09/01/2006 11:57)   <#>
Привет всем, я тут новенький...

У меня вот вдогонку вопрос.
Чем вообще чревато попадание в чужие руки моего секретного ключа?
— Вий (09/01/2006 12:20)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Здавствуйте!
Чем вообще чревато попадание в чужие руки моего секретного ключа?

Тем, что вся Ваша шифрованная этим ключом (точнее говоря открытым ключом, соответствущим данному секретному ключу) информация может быть прочитана посторонними людьми. Правда секретный ключ еще и сам пор себе зашифрован, и без применения пароля им не воспользуешься, но все равно принято считать именно так (Ваш пароль могли украсть еще до кражи ключа например, или подобрать, если Вы применили короткий или легко угадываемый вариант). Читайте раздел "Управление ключами".
Кроме того это может грозить тем, что похитители ключа смогут проставлять ЭЦП от Вашего имени.
— Гость (09/01/2006 15:05)   <#>
Вий:

Кроме того это может грозить тем, что похитители ключа смогут проставлять ЭЦП от Вашего имени.

Это возможно даже без знания пароля(ключеврй фразы)? Или знать его всё-же злоумышленнику необходимо?
— Observer (09/01/2006 17:17)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Да, знать пароль необходимо. Сикреткей бесполезен без знания пароля. Обратите внимание – при генерации ключей вас не просят ввести password, вас просят ввести passphrase.
или подобрать, если Вы применили короткий или легко угадываемый вариант

Подобрать фразу весьма.... весьма... в отличии от простого пароля.

Кроме этого, если взломщик измудрился поставить сниффер к вам на комп, то он сворует и секретный ключ при первом же запуске его с CD. Буквы набранные на клавиатуре ведь вроде бы тоже улетают в атмосфэру... И тем не менее их можно отловить и направить в отдельный файл. Почему же то же самое нельзя проделать и с секретным ключом? При всём при этом, при инсталляции PGP он нахально создаёт директорию с ключами в архиизвестной папке Мои документы, а не предлагает выбрать дискету (предлагает указать место, если ключи уже есть).

Мне кажется, тема надумана и не повышает безопасность системы.

http://www.pgpru.com/forum/viewtopic.php?t=1296
см. сообщение 23:01:23 07.01.06
— unknown (09/01/2006 19:31)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Мне кажется, тема надумана и не повышает безопасность системы.



Съёмные носители с ключевой информацией используют обычно:

1) Для расшифрования диска до загрузки основной части ОС.

2) Для расшифрования домашней директории сразу после удачного логина в систему.

3) В системах с жестким контролем доступа к устройствам.

Ключи PGP попадают только в третий пункт.
А вот попадает ли под них сама система?
— Мыколка (12/01/2006 15:26)   профиль/связь   <#>
комментариев: 49   документов: 2   редакций: 0
Здравствуйте!

Скажите пожалуйста, какие файлы нужно копировать из директории C:\Program Files\GNU\GnuPG, чтобы перенести секретные ключи на съёмный носитель?

Нужно переносить и секретные и открытые ключи?

Можно ли перенести их на токен?


С уважением.
— Kent (13/01/2006 20:20)   профиль/связь   <#>
комментариев: 437   документов: 30   редакций: 15
secring.gpg – файл секретных ключей
pubring.gpg – файл открытых ключей
gpg.conf – файл конфигурации

И файлы отзыва ключей, если имеются.
— Мыколка (13/01/2006 23:22)   профиль/связь   <#>
комментариев: 49   документов: 2   редакций: 0
Kent, спасибо за ответ.

Получается, на съёмный носитель нужно переносить и откырые, и закрытые ключи.

А если на токен перенести – там до 64 кб памяти?

pubring.gpg файл занимает 147 кб.
— Observer (14/01/2006 00:01)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
pubring – это связка открытых ключей тех лиц, с которыми вы можете вести крипто-общение. Когда вы шифруете письмо г-ну Х, то его паблик-кей вы берёте именно из этой связки. Проведите там ревизию и выкиньте все не нужные вам паблик-ключи.
— SATtva (14/01/2006 00:03)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Токен, смарт-карта (аппаратный ключ) — это не просто носитель данных, на него нельзя просто скопировать файлы ключей, чтобы всё заработало.

Во-первых, GnuPG поддерживает только смарт-карты OpenPGP. Мне их в открытой продаже встречать не приходилось, только по заказам из g10. Во-вторых, если уж дело доходит до работы со смарт-картами, то на них импортируется (или генерируются непосредственно на карте) только материал ключей, а не сертификаты ключей, которые и занимают на диске большего всего места.
— Мыколка (14/01/2006 16:28)   профиль/связь   <#>
комментариев: 49   документов: 2   редакций: 0
Observer, SATtva,

Спасибо Вам за ответы.
— Вий (15/01/2006 10:45)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Observer:
Обратите внимание – при генерации ключей вас не просят ввести password, вас просят ввести passphrase.

При генерации ключа pgp действительно просит ввести passphrase, но при этом допускает ввод не менее 8 символов, т.е. среднестатистический пользователь на свое усмотрение может применить и обычный пароль. По своему опыту могу сказать, что я угадал пароль (правда не фразу) своего друга, который при этом был уверен, что это сделать крайне сложно (он сам произносил его не единожды в контексте посторонних бесед!). Все было оформлено спором на бутылку коньяка, правда бутылку пили все равно вместе. :) (да и покупали то же)
Что касается тотального перебора, то я думаю, что здесь дело так же в алгоритме, который преобразует пароль/фразу в ключ. В моем видении грамотно построенный алгоритм перебора ключей должен перебирать ключи определенными последовательностями. У Шнайера написано:
8-и байтовый пароль (36 строчных букв + цифры) вскрывается грубой силой 33 дня
8-и байтовый пароль (95 печатаемых символов) вскрывается грубой силой за 210 лет. Но это при 1000000 проверок в секунду.
Значит алгоритм должен первым делом проверить те ключи, которые могут попасть в поле 33-дневного поиска и т.д.
Observer:
Подобрать фразу весьма.... весьма... в отличии от простого пароля.

Согласен, однако при этом к подбору парольной фразы то же нужен правильный подход. Например думаю нетрудно угадать фразу "Учиться, учиться и еще раз учиться!" или "Молилась ли ты на ночь, Дездемона?".
Если я правильно понял то, что написано у Шнайера, то думаю для достижения очень надежной защиты информации должно быть так:
Если хеш, перемалывающий фразу в ключ имеет выходную длину 128 бит, то и длина фразы должна быть соответствющей для достижения достаточной энтропии полученного ключа при обязательном условии случайности фразы.
Шнайер:

Вопрос о точном смысле выражения "достаточная длина" остается открытым. Теория информации утверждает, что информационная значимость стандартного английского языка составляет 1,3 бита на символ. Для 64-и битового ключа достаточной будет ключевая фраза, состоящая примерно из 49 символов, или 10-и обычных английских слов.

— ivlad (15/01/2006 21:26)   профиль/связь   <#>
комментариев: 21   документов: 2   редакций: 0
Мыколка:

Получается, на съёмный носитель нужно переносить и откырые, и закрытые ключи.

А если на токен перенести – там до 64 кб памяти?

pubring.gpg файл занимает 147 кб.

ну, перенесите на флешку
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3