Vlákno názorů k článku Jednoduché unixové šifrování souborů s utilitou age od dw - Nástroj age používá pro šifrování symetrický klíč, kterým...
-
Nástroj age používá pro šifrování symetrický klíč, kterým soubor zašifruje a kopii klíče zašifrovanou požadovanými veřejnými klíči přiloží k souboru. Pro dešifrování stačí dodat jednu z identit, pro které byl soubor zašifrován.
To ze sa normalne pouziva pre kazdeho prijemcu unikatny symetricky kluc ma svoj vyznam vzhladom na to ako funguje DH.
Ak ma potencionalny utocnik, ktory chce ziskat sukromne kluce ostatnych, ktorym je takto zasifrovany subor urceny, tak je to predpoklad pre zaujimavy zivot bez nudnych chvil. Hlavne ak bude dostatok suborov urceny tym istym prijemcom. To ze identity budu ssh kluce to vylepsi na maximum...
-
DannyStříbrný podporovatelNastroj vymenu klicu vubec neresi - presne v duchu unixove filozofie (jak se pise ve clanku) dela jen jednu vec - sifruje soubory. Navic Diffie-Hellmann je urceny spise pro online vymenu klicu, u offline vymeny se spise hodi nejaka key derivation funkce - a to tam v podobe HKDF-SHA-256 implementovane je...
-
Filip JirsákStříbrný podporovatelPořád píšete o nějakých lahůdkách, ale ani jednou jste nenapsal, jak by měl vypadat útok.
To, že se data šifrují symetrickou šifrou a asymetrickou se zašifruje jenom klíč, je běžná věc všude, kde se šifruje asymetrickou šifrou. Asymetrické šifry jsou totiž pomalé a dešifrovat jimi velký objem dat by trvalo dlouho. Když pak chcete umožnit rozšifrování pomocí více klíčů, zašifruje se ten symetrický klíč několika různými klíči. Kdybyste data na disku chtěl zpřístupnit třeba třem uživatelům s třemi různými klíči a šifroval je třikrát symetrickou šifrou, uložil byste na disk jednom třetinu dat, protože byste musel každý blok ukládat na disk třikrát.
-
Pokud se dostane útočník k jednomu ze soukromých klíčů, tak se dá předpokládat, že nejsíš tak, že oloupal ten cílový stroj, a pak má stejně přístup ke všemu v cleartextu, bez ohledu na použitý šifrovací protokol.
Spíš mě docela chybí možnost zašifrovaný soubor podepsat. Jinak si dovedu představit celkem hodně napáchané škody, která nemusí být na první pohled viditelná (co když např. někdo v gitu přehodí connect string do databáze, aby se konektnul na útočníka?) Tohle gnupg řeší...
-
> Hlavne ak bude dostatok suborov urceny tym istym prijemcom
Tohle se mi nezda. age pouze pouziva verejny klic. A predpokaldam, ze prijemce si verejny klic prilis nechrani, takze pro utocnika bude celkem snadne ho ziskat. A pak si muze generovat zasifrovanych dat kolik chce, vcetne plaintextu. K cemu by mu pak bylo pouziti znamych dat z age souboru?
