我的 PGP 密钥始终受密码保护,这意味着您需要使用对称密钥对其进行解密才能访问我的私钥。
我有兴趣公开我的受密码保护的 PGP 密钥,但我不完全确定我是否遗漏了什么。将我的密钥存储在我的计算机上似乎只会让事情变得更加困难(通过混淆来确保安全),但实际上并没有任何好处。
考虑到我可以使用 256 位 AES http://en.wikipedia.org/wiki/Key_size#Symmetric_algorithm_key_lengths对我的私钥进行密码保护
并且使用暴力破解 2^n 密码所需的能量存在理论上的限制 http://en.wikipedia.org/wiki/Brute_force_attack#Theoretical_limits
我错过了什么?
它会大大降低您的加密强度,因为暴力攻击解密它可能会在更短的时间内成功。通常,密码的位数少于密钥本身。除非您的密码超过 20 个字符,否则我强烈建议您不要这样做。短密码可以很快被破解。
我将向您展示所有数学知识,以告诉您为什么不应该公开加密的私钥,但这太长而无法阅读且太复杂。这是一个简单的答案。
您使用非对称算法,因此您不必只依赖您的密码!您的密码很弱。非对称算法要强得多。如果您公开您的私钥,即使它是用密码加密的,那么您也将阻止它能够正确地发挥其作用。
如果您公开了您的私钥,那么很高兴知道密钥本身的长度不会像您用来保护它的密码的长度和随机性那么重要。
你为什么要向公众公开你的私钥(即使它受密码保护?)
确实可以说,正确使用具有强大算法的随机生成的 256 位对称密钥实际上不能被暴力破解,但是一旦您从密码短语生成密钥 - 就像您通常使用 PGP 或 GPG 所做的那样私钥-您违反了该假设。正如其他人所说,这是非常冒险的。如果您在正确生成的对称密钥下加密您的私钥并将该密钥放在(例如)USB记忆棒上,那将是另一回事 - 但是,当然,您只是将问题推到一边,现在有一个宝贵的USB坚持照顾。如果您真的很偏执,您可能会这样做,但要在密码下加密 USB 记忆棒上的对称密钥:然后攻击者必须获取记忆棒内容并破解您的密码才能窃取您的私钥,从表面上看,这比任何一项任务都难。但在某些情况下,这太麻烦了……
不,你不想把你的私钥留在身边。如果他们可以访问您的私钥,那么他们总是有可能暴力破解您的密码或通过窃听键盘声音、键盘记录器、暴风雨发射攻击、将您孩子的取景器插入电灯插座来获取密码……如果他们没有如果他们无法访问您的私钥,那么他们可能会放弃,他们所做的任何事情或您所做的任何事情都不会让他们访问该数据。