秘密のPGP鍵がネットに到達した場合、それは危殆化したと見なされますか?
私はProtonMailシステムを少しリバースエンジニアリングし始め、ProtonMailがすべてのASCIIアーマードプライベートキーをサーバーにプレーンテキスト形式で保持していること、そしてそれらを保護する唯一のものは標準で定義されたOpenPGPであることに気づきました統合されたパスフレーズ保護。
詳細 ここ 。
現在、ProtonMailはサーバー上でキーを暗号化していると主張していますが、ネットワークトラフィックのスニッフィングに基づいて、サーバーがプレーンテキストで返す秘密キーを復元でき、 GnuPGにインポートできます。
暗号化されていないインターネットに到達した場合、PGP秘密鍵は侵害されたと見なされますか、ASCII装甲、パスフレーズで保護されていますか?
ここに別の見方があります:パスワードがブルートフォース可能な場合、世界中のすべての暗号化は問題ではありません。
キーが使用可能になってからの時間が、パスワードを解読するために実行可能な時間より長い場合は、キーが危険にさらされていると想定する必要があります。
それだけでセキュリティの上限が作成されますが、パスワードと暗号化の実装に弱点があれば、妥協するまでの時間を短縮できます。
要するに-はい、それは侵害されていると仮定します。次に、それがあなたにとって何を意味するかを決定します。ゴシップでいっぱいの電子メールを誰かが読むことができるだけの場合は、おそらく問題ではありません。法的に保護された情報の保護に使用されている場合は、キーを取り消し、新しいキーを生成し(新しいパスワードで)、信頼を再構築します。
残念ながら、PGPは転送秘密を提供していません。そのため、これらのリリースされた鍵で暗号化された過去の電子メールは、ブルートフォースされる可能性があります。そのデータはもはやプライベートではありません。