it-swarm.com.de

Können wir manchmal geheim bleiben?

Alice: Ich brauche die Datei

Bob: Sicher, und ich möchte es zuerst verschlüsseln. Bitte setzen Sie den starken symmetrischen PGP-Schlüssel mit der Copy & Paste-Methode auf https://onetimesecret.com/ und senden Sie mir den Link.

Alice. Fertig, die URL lautet xxxxxxxx

Bob: Sehr lustig, der Link ist leer.

Alice: Ich weiß, es war nur ein Test, ob ich dir vertrauen kann ... Hier der richtige, xxxxxxxx

Bob: Vielen Dank. Haben Sie in der letzten Episode von Big Brother UK die Szene mit dem Haarschnitt gesehen?

Alice: Ich habe was?

Bob: Malika hat einen Clipper auf bequeme Weise benutzt ...

Alice: Hmm.

Bob: Vergiss es, hier der E-Mail-Anhang, der stark mit dem AES128-Algorithmus verschlüsselt ist. Habe Spaß.

Alice: Danke auch. Bitte. Tschüss

Alice und Bob haben einen Dienst zwischen ihnen genutzt, um ein Passwort auszutauschen. Der erste Blick ist, dass sie alles richtig gemacht haben. Aber sie müssen der Website manchmal vertrauen. Wenn der Angreifer die Website besitzt, kennt er auch den symmetrischen PGP-Schlüssel. Was ist die bessere Alternative zum Austausch eines Schlüssels?

6

Der Schlüsselaustausch erfolgt routinemäßig ohne Verwendung externer Dienste mithilfe von Kryptografie. Der beliebteste Schlüsselaustauschalgorithmus ist Diffie-Hellman .

Wikipedia zitieren:

Die Diffie-Hellman-Schlüsselaustauschmethode ermöglicht es zwei Parteien, die keine Vorkenntnisse voneinander haben, gemeinsam einen gemeinsamen geheimen Schlüssel über einen unsicheren Kanal einzurichten.

Wenn Sie Diffie-Hellman verwenden, verwenden Sie nicht die anonyme Version, sondern entweder eine feste oder eine kurzlebige DH. Siehe diese Antwort .

Klar, rollen Sie nicht Ihre eigene Kryptographie für irgendetwas Reales (d. H. Außerhalb des Selbststudiums). Verwenden Sie dazu so etwas wie OpenSSL.

3
A. Darwin

Was ist die bessere Alternative zum Austausch eines Schlüssels?

Besser auf welche Weise? Sicherheit? Einfachheit?

Haben Sie im Falle der Sicherheit mehrere Methoden zur Schlüsselübertragung.

Geben Sie zum Beispiel 10 Zeichen per Telefon, 10 Zeichen per Text, einige mehr durch onetimesecret, einige mehr durch eine andere Website (zum Beispiel ) https://read-once.info ).

Selbst wenn eine der Websites/Übertragungsmethoden nicht vertrauenswürdig ist, verfügen sie auf diese Weise nicht über den vollständigen Schlüssel, sondern nur über einen kleinen Teil davon.

Anstelle von einfachem Text können Sie ihn natürlich auch zuerst mit dem öffentlichen Schlüssel von Alice verschlüsseln. Wenn Sie möchten, können Sie auch nutzlose (oder nicht genug) Informationen geben, damit Alice leicht den richtigen Schlüssel findet.

Geben Sie Alice beispielsweise "ABC", "123", "! @ #" Und "XYZ" durch verschiedene Übertragungsmethoden, wenn der vollständige Schlüssel "XYZ123ABC" ist ("! @ #" Nicht verwendet).

Das heißt, lassen Sie Alice alle gegebenen Stücke permutieren.

1
jvkbzowtb

Ich würde keinem Dritten vertrauen, wenn er Geheimnisse speichert, aber ich mag die Bequemlichkeit, über einen URL-Link teilen zu können.

Um das Beste aus beiden Welten herauszuholen, schrieb ich self-destruct-o ( https://self-destruct-o.control-alt-del.org/ ).

Es hat ein ähnliches Konzept wie onetimesecret, aber einige Vorteile:

  • Es ist trivial, hier eine eigene Instanz, einen eigenen Code und Anweisungen auszuführen: https://github.com/marksteele/self-destruct-o
  • Keine Server erforderlich! (obwohl Sie ein Amazon AWS-Konto benötigen). Das Backend kann in der kostenlosen Stufe laufen!
  • Wenn Sie eine Passphrase für das Geheimnis bereitstellen, leitet es einen Verschlüsselungsschlüssel aus der Passphrase ab und verschlüsselt den Wert dann mit AES-256 im CBC-Modus in Ihrem Browser, bevor Sie ihn an den Backend-Dienst senden.

Sie können den Link per E-Mail senden und die Passphase über einen zweiten Kanal (z. B. Telefon, SMS) teilen und sicher sein, dass niemand das Geheimnis abfangen kann.

Weitere Details hier: https://www.control-alt-del.org/post/one-time-password-sharing-securely/

1
Mark Steele

Es gibt viele Möglichkeiten, Schlüssel richtig zu teilen. Wenn Sie beispielsweise einen öffentlichen PGP-Schlüssel überprüfen konnten, können Sie diesen zum Verschlüsseln verwenden. Dies würde jedoch immer eine gewisse persönliche Überprüfung erfordern, um absolut sicher zu sein.

Wenn Sie jedoch eine Lösung suchen, die Ihrem Beispiel am nächsten kommt und "sicher genug" ist, gibt es einen netten Dienst namens privatebin . Es ist Open Source und Sie können es hosten Sie selbst. Noch wichtiger ist, dass das Einfügen in Ihrem Browser mit einem symmetrischen Schlüssel verschlüsselt wird, der Teil des Links ist. Es wird im Empfängerbrowser entschlüsselt. Der Eigentümer der Privatebin-Site kann Ihre Paste also nicht lesen, ohne auch Ihre Konversation sehen und den Link erhalten zu können.

Eine weitere Option ist die soziale Kryptographie, beispielsweise mit Deamonsaw . Die Art und Weise, wie soziale Kryptografie funktioniert, besteht darin, dass Sie gemeinsames Wissen verwenden, um Ebenen von Kennwörtern zu erstellen. So bitten Sie beispielsweise die andere Person, den Ort, den Sie zum ersten Mal getroffen haben, als Passwort für die erste Ebene zu verwenden. Dann fragen Sie sie nach etwas anderem für das zweite und so weiter, bis Sie sicher sind, dass nur die richtige Person alle Antworten kennen kann.

0
Peter Harmann