나는 매우 (읽기:매우) 내 개인 키에 대한 강력한 비밀번호입니다. .gpg 디렉토리를 사용하는 것이 얼마나 무모할 수 있습니까? 즉, 내 .gpg 디렉토리를 웹에 안전하게 게시하려면 비밀번호에 몇 비트의 엔트로피가 필요합니까? 즉, 내 키를 보호하는 암호화 알고리즘은 얼마나 강력합니까?
답변1
이는 공개 키 쌍 또는 gpg 암호화의 보안에 대한 설명이 아니라 WRT 엔트로피 및 비밀번호에 대한 설명으로, ASCII 영숫자 문자(AZ, az, 0-9) 범위에서 가져온 비밀번호가 주어지면 가능한 조합 수는 16입니다. 문자는 다음과 같습니다
n = 62^16 = 47672401706823533450263330816
내가 당신의 키를 가지고 있고 이러한 모든 가능성을 초당 100만 번 제거하여 비밀번호를 "무차별 대입"하려고 시도했다면 다음과 같습니다.
n / 1000000 / 3600 / 8760 = 1511681941489838
3600은 1시간의 초 수, 8760은 1년의 시간,할 수 있다, 최악의 시나리오에서는 1.5e13세기(150만 칼파스) 이상이 필요하기 때문입니다.
이것이 누군가가 이런 방식으로 코드를 해독하려고 한다고 믿는 것이 매우 순진한 이유입니다. 비밀번호는 중요하며 강력한 비밀번호가 약한 비밀번호보다 낫습니다. 그러나 "매우(읽기: 매우) 강력한 비밀번호"를 사용한다고 해서 비밀번호 도용, 스푸핑 교환 또는 무차별 비밀번호에 관한 것이 아닌 기타 방법으로부터 사용자를 더 잘 보호할 수는 없습니다. 열분해. 암에 비유할 수 있습니다. 어떤 사람들은 담배를 전혀 피우지 않고, 잘 먹고, 운동하고, 항상 자외선 차단제를 바르는 등의 행동을 하면서도 여전히 암에 걸립니다. 그렇다고 해서 플루토늄을 먹어도 된다는 뜻은 아닙니다.
답변2
오래된 질문인 건 알지만, 정답을 아는 것이 너무 중요하기 때문에 전문가가 아니더라도 최선을 다해 답변해 드리겠습니다.
GPG 키를 무모하게 사용하지 마세요. 심지어 암호화된 키라도 사용하세요!
개인 키는 대칭 알고리즘을 사용하여 암호화됩니다. 이것은 얻는만큼 좋습니다. 그러나 부채널 공격(예: 키로거)은 이를 우회합니다. 부채널 공격은 점점 더 정교해지고 있습니다. 컴퓨터가 실행되는 동안 나는 소리도 키 입력을 드러낼 수 있습니다.
또한(논란의 여지가 있을 수 있음) 일회용 패드(매우 긴 키를 사용해야 함)를 제외하고 대부분의 암호화 알고리즘은 절대적으로 안전한 것으로 입증되지 않았습니다. 물론 아직까지 심각한 결함을 발견한 사람은 없지만 여전히 발생할 수 있습니다. 표준 다중 문자 대체는 19세기 암호 분석가 Kasiski가 분석을 발명할 때까지 강력한 기반으로 간주되었습니다. 또한 추가 기능을 제공할 수도 있고 제공하지 않을 수도 있는 양자 컴퓨터의 가능성이 커지고 있습니다. RSA는 이러한 시스템의 공격에 취약한 것으로 나타났습니다. 예, 결함이 있는 알고리즘으로 인해 키의 보안 수준에 관계없이 비밀번호가 손상될 수 있지만 최소한 키는 서명에 계속 사용할 수 있다는 것을 알고 있습니다. 이를 통해 다른 알고리즘에 대한 새 키를 얻을 수도 있습니다.
전반적으로 후회하는 것보다 안전한 것이 낫습니다.