Wissen, wann ein Schlüssel kompromittiert wird

385
Marcus Hughes

Ich versuche, bewährte Vorgehensweisen für die Ermittlung eines gefährdeten Schlüssels zu ermitteln. Ich hatte wenig Glück, etwas dazu zu finden, hoffte jedoch, dass es eine Art Service gab, der benachrichtigt werden würde, wenn ein Schlüssel im Web gefunden wurde.

Ich habe zum Beispiel einen RSA-Schlüssel. Es wird irgendwo online veröffentlicht, aber ich weiß es nicht und benutze den Schlüssel weiter. Ich möchte so schnell wie möglich darüber informiert werden, dass etwas entdeckt wurde, sodass der öffentliche Schlüssel aus bekannten Bereichen entfernt werden kann.

Was ist das Beste, was zu tun ist?

0
https://security.stackexchange.com/ könnte für diese Frage ein besserer Ort sein. DavidPostill vor 7 Jahren 2

2 Antworten auf die Frage

1
djsmiley2k

Wenn auf das System, das den privaten Schlüssel enthält, jemals unberechtigt zugegriffen wurde, sollten Sie den Schlüssel ebenfalls als solchen behandeln.

Es gibt keine Möglichkeit, den privaten Schlüssel "gemeinsam zu nutzen", und Sie können ohnehin nicht von public -> private wechseln. Daher ist das, was Sie fragen, "unmöglich" (innerhalb der Einschränkungen von PKI). Indem Sie einfach versuchen, nach dem privaten Schlüssel (oder einer Teilmenge davon) zu suchen, enthüllen Sie Informationen über den Schlüssel, den Sie nicht weitergeben sollten.

Ich vermute, ein Dienst, der versucht, private Schlüssel zu finden, alle öffentlichen Schlüssel zu berechnen und sie zu "indizieren", könnte jedoch existieren, wäre aber rechnerisch nicht durchführbar oder er stellt einfach eine nicht interaktive Liste von im Web gefundenen privaten Schlüsseln bereit. Dies wäre jedoch der Fall unrealistisch zu implementieren, denke ich.

Ich behaupte nicht, dass der öffentliche Schlüssel in einen privaten Schlüssel umgewandelt werden würde, und es ist nicht immer möglich, nicht zu wissen, wann ein privater Schlüssel gefährdet wurde. Ich bin nicht einverstanden mit der rechnerisch nicht durchführbaren Indexierung von Schlüsseln. Es ist nicht so teuer, die Fingerabdrücke der Schlüssel zu vergleichen. Marcus Hughes vor 7 Jahren 0
-1
John.Doe

Sie sollten immer ein zufälliges Schlüsselpaar generieren und den privaten Schlüssel immer privat halten. Es ist für einen Gegner unmöglich, den privaten Schlüssel zu finden, indem er nur weiß, was der öffentliche Schlüssel ist. Daher sollte niemand im Internet Ihren privaten Schlüssel finden können.

Verwandte Probleme