Riesgos de cifrar una clave pública
Daniel Bañobre Dopico
daniel.banobre.dopico en gmail.com
Mie Ene 30 13:45:51 CET 2008
Estoy empezando a trabajar en un proyecto que emplearía GnuPG para
realizar diálogos http cifrados de forma transparente al usuario. Nada
que ver con S-HTTP. Se implementaría a nivel de aplicación web en el
lado del servidor y el soporte a los navegadores se proporcionaría
mediante plugins o complementos. La idea es ofrecer una alternativa a
http sobre ssl a nivel de transmisión de peticiones y ficheros.
Parte de la idea original implica el envio recíproco de las claves
públicas por medio de diferentes canales. Este paso es delicado pues, de
no establecerse medios para evitarlo, resulta vulnerable a un ataque de
M'n'M con spoofing de claves.
En este momento estoy intentando diseñar el/los mecanismos que
dificulten este ataque. He de proteger el intercambio de claves entre
las dos partes de la comunicación. Si consigo que la primera clave se
entregue por un canal seguro, la segunda clave podría viajar ya
encriptada y firmada, de forma que no sería interceptable.
Mi duda es: en principio, cifrar un documento públicamente conocido,
cuanto más largo, supone un riesgo a nivel de que proporciona muchos
datos que podrían facilitar el ataque a la clave privada por parte de
terceros. La clave pública que se intercambia entre las dos partes de la
comunicación es, por definición, pública, con lo que hacerla viajar de
forma cifrada podría suponer un riesgo para la confidencialidad de la
clave privada de la parte que cifra, especialmente si se trata del
servidor web. ¿Hasta qué punto es GnuPG sensible a este tipo de
problemas?. ¿Merece la pena considerar este hecho o el cifrado que
ofrece GnuPG está exento de este riesgo?.
Gracias por su tiempo y su esfuerzo.
--
Daniel Bañobre Dopico _o)
GNU/Linux num. 416887 /\\
http://counter.li.org \_V
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: application/pgp-signature
Size: 189 bytes
Desc: Esta·é·unha·parte·de·mensaxe·asinada·dixitalmente
URL: </pipermail/attachments/20080130/ba60b1ca/attachment.pgp>
Más información sobre la lista de distribución Gnupg-es