Устаревание ключа
Еcли например имеется ключ g для шифрования со сроком действия 3 года.
Я его применяю для шифрования файлов на винчестере.
Что произойдет когда срок действия ключа закончится, я что не смогу свои файлы расшифровать ?
Если не смогу расшифровать то как поступать для шифрования своих файлов предназначенных только для меня ?
И еще вопрос
В linux после того как файл зашифрован, не зашифрованный файл удаляется и на его месте информация перезаписывается большое количество раз.
Что бы никто не смог снять винчестер и востановить удаленный файл.
Как мне быть с этой проблемой под windows ?
комментариев: 9796 документов: 488 редакций: 5664
У вас включена эта опция в ядре типа Openwall? И как не тормозит при работе с временными файлами? Или вы используете обнуляющий бит при задании свойств файла? Тогда нет многократной перезаписи, только обнуление.
Я знаю в linux'e shredd и wipe или патчи для затирания на лету.
В Win должны быть также отдельные утилиты для ручного затирания и для затирания "на лету" – кажется autowipe.
комментариев: 11558 документов: 1036 редакций: 4118
Нет, Вы просто не сможете шифровать им новые файлы. Но даже это можно "исправить", если перевести системные часы назад.
Есть хорошая бесплатная программа Eraser. Ссылка есть в разделе Софт.
комментариев: 225 документов: 8 редакций: 2
http://www.heidi.ie/eraser/faq.php#pc+freeze — без «плясок с бубном» программа у Вас нормально работать не будет. Впрочем, и над GnuPG тоже надо поплясать для нормального её функционирования...
(4) ElGamal (только для шифрования)
(6) RSA (только для шифрования)
и какой битности ???
и стоит ли сделать так ?
[quote:f12e3554f9="Д. Надь"]Основной ключ будет 4096-битовым RSA-S ключем, который я сертифицирую на неопределенный срок, но пользоваться им для подписи документов не буду (подпись таким ключем — монстр). Для этой цели будет несколько, регулярно меняемых RSA ключей от 1024 до 2048 битов, с разными алгоритмами. А для шифрования однин ElGamal ключ в 2048 битов, тоже регулярно меняемый (каждые 5 лет, скажем).
Плюс к этому для шифрования локальных файлов добавим подключ! RSA .
после этого делаем экспорт основного ключа и храним где нибудь на всякий случай (в сейфе) – не держать основной секретный ключ на подключенном к сети компьютеру вообще никогда
также делаем экспорт подключей
1. ElGamal – для шифрования писем
2. RSA – для подписи писем
3. RSA – для шифрования локальных файлов (его тоже можно не держать на подключенном к сети компьютеру вообще никогда – а там где необходимо шифрование файлов)
а также к подключам установить разные пароли!
]>
на идею навел Д. Надь
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 510 документов: 110 редакций: 75
В PGP 9 это опция sred original, доступна в том же окне, где производится выбор ключей шифрования.
комментариев: 11558 документов: 1036 редакций: 4118
RSA-S 4096
подключи
RSA-S 2048
RSA-E 3072
сделал --export-secret-subkeys
RSA-S 4096 – в сейф положил и "забыл"
export-secret-subkeys использую как рабочий
и ему поменял пароль не такой как у primary key
только вроде говорилось что для подписи и для шифрования можно разные пароли создать а как не понял ?
И еще вопрос если я несколько раз создавал пару ключей С ОДНИМ И ТЕМ ЖЕ ПАРОЛЕМ
и отправлял на серверы ключей а потом отзывал
то после всех этих экспериментов создам уже рабочую пару ключей с ТЕМ ЖЕ ПАРОЛЕМ не будет ли это послабление в защите ?
и еще как я понял gpg и криптография в целом для обычного человека может помочь только от любознательных (админов и хакеров) но если это будут спецслужбы или маньяк (хочет нас посадить на крючок) то тут уже ничто не поможет.
Так вот на счет любознательных админов все понятно
но вот на счет хакеров:
допустим
1 используем свободные программы gpg
2 компьютер твой личный а не случайный
как с этими условиями зашититься от хакера
имеются ввиду
1. кейлокеры
2. воровство через сеть или интернет твоего ключа sec
3. еще что-то что я забыл ....
???
комментариев: 9796 документов: 488 редакций: 5664
Если пессимистично: Быть на уровень выше хакера. Знать и уметь больше его. И это тоже может не спасти.
Более оптимистично: знать общие правила сетевой защиты, убрать из системы все ненужное, проявлять внимательность ко всему необычному и подозрительному, уметь быстро разобраться в таких инциндентах.
Конкретные рекоммендации могут занять сотни книжных страниц, но они не заменят опыта.
Еще более оптимистично: если Вы не в бункере живете и не в бронежилете по улицам ходите, может Вам и насчет хакеров не стоит слишком беспокоиться?
Разве чт они поспамят от Вашего имени, а ключ gpg Ваш может им и не нужен.
комментариев: 11558 документов: 1036 редакций: 4118
Не беспокойтесь. На сервер Вы отправляете открытый ключ, а пароль нужен, чтобы зашифровать закрытый, таким образом, шифртекст ключа никогда не покидает Ваш компьютер (ну, только если Вы специально его кому-то не отправите). Более того, даже с одинаковым паролем шифртекст закрытого ключа всегда будет разным из-за случайных значений ВИ и "соли", используемых для его шифрования.
Если только криптография и только GPG — сказанное справедливо. Получается как бы железная дверь в соломенный домик: зачем прожигать её автогеном, если можно просто через стену войти? Поэтому...
...укрепляйте стены: ставьте и настраивайте брандмауэр, укрепляйте систему, запрещайте всё, а разрешайте лишь нужное, избавляйтесь от ненужных сервисов, демонов, программ, т.е. всего, что может быть уязвимо через сеть, шифруйте жёсткие диски, подключайте средства контроля целостности системы, наконец, запирайте окна и двери в помещение и ставьте сигнализацию. И знайте, что даже это может не помочь. :D
комментариев: 9796 документов: 488 редакций: 5664
0x517D0F0E: Linux Kernel Archives Verification Key <ftpadmin@kernel.org>
TWOFISH, CAST5, 3DES
0x28988BF5: Roger Dingledine (Tor developer)
TWOFISH, BLOWFISH, CAST5, 3DES
0x801EA932: Martin Schulze (Debian head founder):
subkey 1: AES, TWOFISH, CAST5, BLOWFISH, 3DES
subkey 2,3,4: TWOFISH, CAST5, 3DES
0x4F368D5D: Debian Archive Automatic Signing Key (2005)
AES, TWOFISH, CAST5, BLOWFISH, 3DES
Под рукой нету еще некоторых интересных ключей, но многие выбирают или AES (по умолчанию) или TWOFISH.
создал ключ
RSA-S 4096
подключи
RSA-S 2048
RSA-E 3072
чем шуфруется закрытый ключ и как это узнать ?
комментариев: 225 документов: 8 редакций: 2