4

Я новый GnuPG, таким образом, это может быть глупым вопросом. Еще:

Я хочу зашифровать свою электронную почту, используя gpg4win. Наряду с этим я использую Kleopatra, инструмент для создания собственных сертификатов и управления открытыми ключами моих друзей. Я просмотрел руководство по Gpg4win - Compendium, а также читал некоторые другие руководства и часто задаваемые вопросы.

Всегда упоминается, что важно экспортировать свой собственный сертификат / закрытый ключ и в идеале сохранить его на каком-то внешнем носителе (USB-флешка, DVD) и сохранить свой секретный ключ, ну, в общем, в секрете. В любом случае, сертификат все еще находится в Kleopatra-tool и может быть экспортирован снова и снова (а также импортирован). Таким образом, не безопасность моего сертификата определяется не только безопасностью доступа к моему ПК? Я имею в виду, как хакер, я бы предпочел получить доступ к чьему-то компьютеру, а не врываться в квартиру, ища эту USB-флешку под подушкой. Я полагаю, что ПК здесь является самым слабым местом. Если ПК не является самым слабым местом, нет необходимости экспортировать и скрывать сертификат.

Также я использую Thunderbird и Enigmail. Здесь меня спрашивают о моей парольной фразе при расшифровке отправляемых мне писем. Та же точка, что и выше. Разве секретный ключ не является абсолютно бесполезным, если не знать ключевую фразу? Итак, в чём же смысл экспортировать и физически скрывать мой сертификат, когда мне нужно ввести фразу-пароль, чтобы в любом случае использовать мой сертификат?

2 ответа2

5

Вы рассматриваете вопрос о безопасности вашего личного (секретного) ключа. Поскольку он зашифрован с помощью ключевой фразы (по крайней мере, так и должно быть), злоумышленник, получивший зашифрованную копию, не сможет ее использовать (если он не овладеет вашей парольной фразой). Он будет в состоянии сделать это , если он имеет доступ к вашему компьютеру , когда ключ используется или по- прежнему имеет / незашифрованный ключ кэшированную ключевую фразы по причинам комфорта (входящие в ключевой фразе каждый раз весьма раздражает) - рассмотрим трояна на вашем компьютере например.

Теперь существует несколько способов смягчить проблему кражи закрытого ключа, когда хакеры получают доступ к вашему компьютеру (если вы считаете, что это один из них, всегда прилагайте усилия в отличие от риска):

  • Использование автономной копии, которая подключается только тогда, когда вы используете ключ - минимум усилий, но и минимум защиты от злоумышленников (как только вы используете его, и злоумышленник получает контроль над вашим компьютером, он получает доступ к закрытому ключу и может сделать копия).
  • Использование смарт-карты OpenPGP или сопоставимого токена безопасности USB (например, Yubikey): карта содержит собственный криптопроцессор, который выполняет операции с закрытым ключом, и закрытый ключ никогда не покидает ваш компьютер: злоумышленник может использовать ваш закрытый ключ, пока он подключен , но не могу сделать постоянную копию!
  • Первичный ключ имеет особое значение, так как он используется для управления вашими подразделами и может выдавать сертификаты. Некоторые люди размещают свой первичный закрытый ключ на выделенном компьютере, например, на каком-то старом ноутбуке, который используется только для управления этим ключом и вообще не подключен напрямую к Интернету. Это, вероятно, самый параноидальный способ (и самый безопасный против хакеров) для управления вашими ключами OpenPGP.

Физическая безопасность (против злоумышленников в вашей квартире) - это еще одна проблема, но она не имеет никакого различия для других важных документов и объектов.

Наконец, есть еще одна проблема, не связанная с тем, что злоумышленники могут получить копии вашего закрытого ключа: это вы теряете доступ к вашему секретному ключу из-за сломанных жестких дисков, административных ошибок, таких как форматирование жестких дисков или неполное резервное копирование, или даже из-за сгоревшего дома. , Потеря доступа также означает, что вы никогда больше не сможете удалить его из сети сервера ключей. Разумно хранить копию закрытого ключа в надежном месте, например, в банковском хранилище; если вы считаете это слишком рискованным, по крайней мере, создайте ключ отзыва. Я храню свой отпечаток в виде QR-кода и передаю копию доверенным лицам, которые, таким образом, могут отозвать мой ключ в случае чего-либо, но не могут использовать его иначе.

1

Большая угроза здесь не в краже сертификата, а в том, что ваш жесткий диск умирает и не может получить доступ к вашей электронной почте.

Резервные копии закрытых ключей означают, что есть еще одна вещь, которую нужно потерять, прежде чем вы заблокируете свои файлы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .