Как защитить ключевые детали PGP от взлома?

Я не нашел ответа на следующее.

Гипотеза: если кто-то получит физический доступ к моему компьютеру, как я могу убедиться, что они (те, кто слоняется), не найдут мои данные PGP; как ключи или адреса электронной почты, которые связаны с ключами?

Является ли единственным и лучшим решением для шифрования всего вашего жесткого диска и надеюсь, что ваш пароль достаточно надежный? Или вы можете просто скрыть данные ключа PGP на зашифрованном томе и извлекать их, когда хотите зашифровать или расшифровать какое-либо сообщение?

Я не смог доказать позже.

Источник

1 ответ

Что касается всех вопросов, связанных с Infosec, первое, что нужно рассмотреть, это кто является атакующим, которого вы хотите смягчить. Затем разработайте возможные атаки, которые он может совершить, и сколько усилий ваши данные будут ему стоить.

Вы никогда не сможете доказать безопасность. Вам нужно будет доказать безопасность не только всего используемого программного обеспечения (включая операционную систему и прикладное программное обеспечение), но также используемого аппаратного и криптографического алгоритмов. Прямо сейчас наука все еще борется с проверкой очень незначительных фрагментов программного обеспечения, вдали от того, чтобы даже проверять GnuPG или подобные приложения.

Все, что вы можете сделать, это рассмотреть возможные (известные, ожидаемые) векторы атаки, выбрать по значению вашу информацию для атакующего и применить соответствующие контрмеры. Чтобы получить максимальный уровень безопасности, рассмотрите возможность использования автономного компьютера, не подключенного к каким-либо компьютерным сетям внутри защищенного хранилища. Не кажется уместным? Скорее всего, это не так, но вам придется выбирать где-то между удобством (и экономической эффективностью) и безопасностью.

Зашифрованный жесткий диск

Все вместе, даже шифрование жесткого диска не будет безопасным, если вы переведете компьютер в спящий режим, и злоумышленник сможет прочитать память (с большими усилиями), или даже модифицирует / замаскирует ваше оборудование (или просто получит удерживайте работающую машину, пока она разблокирована). Программное обеспечение Malwared, очевидно, также выставит ваши закрытые ключи.

Шифрование вашего жесткого диска, включая пространство подкачки, вероятно, достаточно для большинства злоумышленников.

Зашифрованный домашний каталог GnuPG

Если вы хотите быть уверены, что "случайный" злоумышленник (без специальной аппаратной поддержки, не намного глубже, чем "готовые" знания в области ИТ) или вор вашего компьютера не получит доступ к информации, хранящейся в вашем наборе ключей GnuPG, зашифрованный том должен быть в порядке. Возможные векторы атаки я могу себе представить:

  • временные файлы остались
  • ваш почтовый магазин, который содержит зашифрованные / подписанные письма
  • вредоносное ПО, которое получает доступ к вашему брелоку, пока оно разблокировано / перехватывает вашу фразу-пароль
  • пользователи с правами администратора получают доступ к вашему брелоку, пока он разблокирован / перехватывает вашу парольную фразу
  • ...
Источник
Другие вопросы по тегам