GPGで暗号化されたデータをGitHubなどに公開して保存しても安全ですか?
私は情報セキュリティとGPG暗号化のいくつかの基本を学びましたが、それは非常に興味深いものです。私が持っているアイデアの背後にある脆弱性を理解したかったのです。
GPGを使用して公開鍵と秘密鍵のペアを作成した後、公開鍵とフィンガープリントをオンラインで投稿しても大丈夫であることがわかっています。
私の質問は、個人的に暗号化されたデータをGitHubリポジトリなどにオンラインで保存することを中心に展開しています。大丈夫だと思いますが、このトピックにかなり慣れていないので、コミュニティに確認したいと思います。
自分の公開鍵を使用してGPGで暗号化したデータファイルがあるとします。ファイルをGitHubにアップロードして、公開します。私自身は個人の秘密鍵でこの情報を復号化できないため、これは安全であるべきだと思います。それは安全な仮定ですか、またはここで重要な何かを見逃していますか?
私は通常、暗号化には有効期限があるという考えに同意します。したがって、キーの長さと暗号の選択についてベストプラクティスに従うと仮定すると、ベストプラクティスでは、一般的に約30年のセキュリティ期間が想定されます。
したがって、30年経ってもこのデータは機密情報である場合は、通常よりも長いキーの長さと暗号(つまり、量子化後の暗号化を参照)を選択するか、または他の方法を検討して、暴露のリスク。たとえば、GitHubにコンテンツを公開しない。ただし、業界の慣行を設定するためにNISTなどの組織が提供する30年間のガイダンスは、暗号化におけるチャーンの歴史的な割合に基づいていることに注意してください。新しいエクスプロイトによって暗号が安全でなくなると、攻撃者はより短時間でデータを読み取れるようになる可能性があります。
ただし、コンテンツが短期間にのみ機密である場合(失効や変更が簡単なAPIキーや有効期限がある場合など)は、暗号化されたデータを誰もだろうという確信を持って投稿してもかまいません。コンテンツを読むことができる。
あなたがすべてを正しく行うと仮定すると、強力な鍵、鍵の再利用なし、鍵の保護、強力な暗号、そしてもちろんそれは安全です。
ただし、使用シナリオを考えると、代わりに対称鍵暗号化を検討する必要があります。
公開鍵暗号化のポイントは、さまざまなエンティティによる暗号化と復号化の機能を提供することです。あなたが述べたシナリオでは、あなたが唯一のユーザーなので、公開鍵と秘密鍵を持つことは意味がありません。必要なのは対称単一キーだけであり、秘密キーと同じように保護します。
公開鍵暗号化の仕組みは、ファイルがランダムに生成された対称鍵で実際に暗号化されることです。計算コストがかかるため、この対称鍵のみが公開鍵暗号化によって暗号化されます。公開鍵の復号では、以降の対称復号の対称鍵のみが復号されます。あなたが唯一のユーザーである場合、公開鍵暗号化はオーバーヘッドを追加するだけで、混乱を招くだけで、利点はありません。