Puncte:2

Cum obțineți o cheie publică de la o amprentă

drapel in

Am văzut unii oameni punându-și cheii publice (Aș presupune că se referă la o amprentă PGP PK) pe powerpoint-uri și altele asemenea, astfel încât să poată fi contactați folosind un canal sigur.

Din punctul meu de vedere, este evident că ar trebui să existe o modalitate de a obține PK-ul original de la amprentă (dacă nu a fost, nu prea găsesc rostul de a partaja amprenta).

Cu toate acestea, am citit că amprenta este un hash și, din experiența mea, inversarea unui hash prin simpla încercare nu este deloc grozavă. Cum ai face asta?

kelalaka avatar
drapel in
Ei bine, o cheie publică poate fi lungă mai ales pentru RSA, modul de 2048 de biți $n$ plus exponentul public $e$ care formează $(n,e)$ ca cheie publică. Dacă îl hash cu SHA-256, atunci este mult mai scurt și fără coliziuni, deoarece avem nevoie de aproximativ $2^{128}$ cheie publică pentru a vedea una cu mare probabilitate. Prin urmare, este posibil să îl utilizați. Chiar și Bitcoin folosește RIPEMD-160 pentru asta; $$A = RIPEMD160(SHA256(K)) $$
Néstor Llop avatar
drapel in
Deci, există vreo modalitate de a folosi amprenta pentru a putea trimite conținut folosind cheia publică respectivă?
kelalaka avatar
drapel in
Trebuie să-l găsești pe cel corespunzător...
fgrieu avatar
drapel ng
Din punct de vedere cripto, nu există nicio modalitate de a obține cheia publică din hash-ul ei, amprenta digitală. Dar dacă privim asta din punct de vedere IT; ar putea exista (și obișnuiau să existe) servere de chei publice, de la care obțineți cheia publică (dată numele sau adresa de e-mail a persoanei; sau eventual amprenta digitală, deși nu îmi amintesc că aceasta a fost vreodată o procedură standard), și apoi verificați cheia publică față de amprenta sa. O altă opțiune este să trimiți prin e-mail cheia publică și apoi să verifici cheia publică cu amprenta sa.
Néstor Llop avatar
drapel in
oh roger that: folosind un „tabel de căutare” sau cerând PK. Și da, mie mi s-a părut imposibil să obțin datele reale date un hash, dar am văzut o mulțime de oameni publicând hash-uri susținând că este suficient pentru a lua legătura
Puncte:3
drapel kr

Nu puteți obține cheia publică din amprentă.

Scopul partajării amprentelor digitale este de a se asigura că respectiva cheie publică îi aparține într-adevăr unei anumite persoane.

Când doriți să criptați un mesaj către o persoană, îi cereți acestei persoane o cheie publică și o primiți pe e-mail. Pentru unele persoane, de ex. pentru unii dezvoltatori, puteți găsi cheia lor publică pe diferite resurse online.

Când obțineți cheia publică, prin e-mail sau prin descărcare, de unde știți că aparține cu adevărat acelei persoane? Calculați amprenta și o comparați cu cea pe care o aveți prin intermediul unui canal în care aveți încredere, de ex. ați participat la o discuție a acestei persoane și amprenta a fost afișată pe diapozitivele prezentării sau aveți amprenta din contul de Twitter sau Facebook al acestei persoane.

De ce să nu partajați direct cheia publică, de ex. prin diapozitive? Deoarece cheile publice pot fi relativ lungi și de aceea poate fi greu să le încorporați și greu de verificat. În timp ce încorporarea și verificarea amprentei este ușoară.

Puncte:1
drapel in
mjt

Când oamenii își înmânează amprentele digitale cu cheia publică, este aproape întotdeauna o cheie PGP.

De obicei, puteți obține PK-ul original din amprentă prin căutarea amprentei pe un server public de chei PGP.

De exemplu, dacă cineva vă spune că este amprenta cheii PGP 5744 6EFD E098 E5C9 34B6 9C7D C208 ADDE 26C2 B797 poti caută-l pe un server de chei PGP așa sau importați-l în GPG așa: $ gpg --keyserver keyserver.ubuntu.com --recv-keys 57446efde098e5c934b69c7dc208adde26c2b797

Desigur, în era actuală a pandemiilor și a prezentărilor online, s-ar putea pur și simplu pune un link, sau chiar o cheie întreagă, într-o prezentare livrată electronic.

Néstor Llop avatar
drapel in
Multumesc pentru raspuns! Aș dori totuși să cer mai multe informații. Evident, nu toate cheile publice se află pe acel server pe care îl menționezi. Cum l-ai introduce pe al tău în serverul de căutare, de exemplu?
drapel kr
@mjt: A avea încredere în chei sau amprente în „prezentarea livrată electronic” poate fi foarte periculos. Un atacator poate pune propria semnătură sau cheie publică în prezentare, o poate înregistra folosind un e-mail similar cu al tău și poate pretinde că ești tu. Destinatorul va trimite mesaje atacatorului crezând că ești tu. Destinatarul va avea încredere în codul semnat de cheia atacatorului, crezând că este codul dvs. Acest lucru poate fi foarte periculos. Amprenta este necesară **și anume pentru a preveni** acest lucru și ar trebui să fie partajată prin canal **de încredere**, nu pur și simplu „livrată electronic”.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.