5

Я собираюсь призвать группу людей начать использовать S-Mime и GPG для цифровых подписей и шифрования. Я предвижу кошмар зашифрованных документов, которые больше не могут быть восстановлены из-за потерянных ключей.

Самый сложный вопрос - архивация. Естественный способ сохранения конфиденциальности в архиве - архивирование зашифрованного документа.

Но это открывает нам риск потери ключа, когда придет время разархивировать документ или забытый пароль. Ведь это будет долгий путь в будущем. Это было бы равносильно уничтожению документа.

Первая мысль - это архивирование ключей с документами, но это все еще оставляет забытую фразу-пароль. Архивирование парольной фразы также было бы равносильно архивированию в открытом виде. Нет конфиденциальности.

Пояснение: тема в том, что люди теряют ключи и забывают парольные фразы.

Для фраз текущего прохода: применять постоянное усиление. Используйте их каждый день.

Два факта вводят дополнительную стратегию.

1- Рано или поздно повторно использованная парольная фраза будет скомпрометирована, это вопрос времени.
2- Рано или поздно пароль будет забыт, тоже вопрос времени.

Когда что-то происходит, вы не хотите потерять / поставить под угрозу все.

Итак, вторая стратегия - диверсификация.

Измените пароль и ключ иногда.

Таким образом, только некоторые документы скомпрометированы или утеряны, но не все.

Лучшее название: как бороться с выходом на пенсию старых пропущенных фраз

Когда я первоначально отправил сообщение, мои мысли зашли так далеко, но я не очень хорошо сформулировал вопрос, отсюда и это разъяснение.

Перефразировался вопрос: как убрать старые пасовые фразы?

Имейте в виду, что есть зашифрованные заархивированные документы, которые заархивированы вместе с их закрытым ключом (ключами), но все же защищены парольной фразой.

«Повторное шифрование архивного содержимого, защищенного новой текущей парольной фразой» было отклонено, поскольку оно подрывает стратегию диверсификации.

Какие подходы вы используете?

Какие идеи вы можете предложить по этому вопросу?

3 ответа3

4

Думая в более общих чертах, если вы храните ключ с замком, то нет смысла иметь замок. Я бы никогда не попросил пользователя дать мне или иным образом сохранить свой ключ или пароль - если он все еще используется, то это дополнительная угроза безопасности.

Я обычно вижу зашифрованные документы как "только для ваших глаз" - если они должны быть просмотрены кем-либо, кроме владельца ключа, то документ должен быть скопирован и повторно зашифрован, так что любой, кому нужно просмотреть его, сможет просматривать его (или настроить так, чтобы его можно было расшифровать несколькими ключами), а не то, что владелец должен отказаться от ключа.

Если я ожидаю, что архивариус / историк извлечет незашифрованное содержимое из заархивированного файла, то я бы заново зашифровал файл ключом, предназначенным для архивов, и архивариус будет отвечать за этот ключ, возможно, два или три человека в случай, когда кто-то забывает или получает удар от 18-колесного автомобиля. (То есть, если "компания" должна владеть документами в архиве, то они должны быть повторно зашифрованы ключом "компании"). Если я отправляю зашифрованный документ Бобу в каком-либо списке рассылки, который архивируется, вы должны прийти к себе или Бобу, чтобы получить незашифрованную копию для архивирования.)

Если у вас есть проблемы с людьми, которые забывают / теряют ключи, это другая проблема. Используйте ключевую часть ежедневной рутины по требованию и не заставляйте пользователей произвольно менять ключи.

1

Существует множество исследований и идей о том, как справиться с ситуацией такого типа в мире криптографии. Один из тех, которые мне нравятся, - это когда два человека шифруют ключ, который вы используете, но ключом, который они никогда не смогут забыть или записать.

Ключ зашифрован пользователем 1, затем результат зашифрован пользователем 2.

Таким образом, оба человека должны согласиться расшифровать ключ. Это не так небезопасно, если они записывают это, потому что есть два человека. Там также множество ключевых программ и стратегий управления. Google может быть вашим лучшим выбором.

1

Запишите ключ (или ключи, если необходимо) и храните их в физически безопасном месте. Для большей безопасности храните несколько копий в физически безопасных местах. Вещи, как сейфы в отдельных местах или огнестойкие сейфы в корпоративных офисах.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .