Re: Delucidazioni GPG

To: debian-italian@lists.debian.org
Subject: Re: Delucidazioni GPG
From: Davide Prina <davide.prina@gmail.com>
Date: Wed, 21 Nov 2018 22:03:29 +0100
Message-id: <[🔎] 857e512c-bb90-6d14-d2f6-803b6436d8b8@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 3C4095A0-4FC2-46B8-8CAC-5FF6C266A3C8@gmail.com>
References: <[🔎] 3C4095A0-4FC2-46B8-8CAC-5FF6C266A3C8@gmail.com>

dovresti far spezzare le righe ad un valore inferiore a 80 caratteri perrendere agevole rispondere alle tue mail e non spedire le mail in html


Non sono un esperto di sicurezza, ma provo a risponderti.

On 20/11/18 00:58, developermailist wrote:

Leggendo in giro, e anche nella wiki di debian, ho visto che debian sta utilizzando potilitiche molto piu forti per quanto riguarda la sicurezza...

la sicurezza dipende da cosa è per te sicurezza per l'ambito che staiconsiderando.Tieni conto che ogni algoritmo di cifratura serve per effettuaredeterminati compiti, ma non altri.

infatti sarebbe meglio creare chiavi asimmetriche da 2048 bit in su e con sha2..

poiché vi sono diversi algoritmi di cifratura si tende ad usare unqualcosa di comune che permetta di confrontarne la "bontà".Penso che attualmente il più usato è quello definito come "bits ofsecurity" o "password strength" e il consiglio sia usare un algoritmoche ti permette di avere almeno 112 bit di sicurezza. In pratica n bitdi sicurezza equivalgono al numero di operazioni, espresse come 2^n, cheun attaccante deve fare per avere successo.


Per RSA vuol dire generare chiavi da 2048 per avere 112 bit di sicurezza.

Per elliptic curve cryptography (ECC) vuol dire generare chiavi da 224bit per avere 112 bit di sicurezza.

E questi sono due metodi che permettono di generare chiavi asimmetriche:pubblica / privata.

Quindi quando dici chiavi asimmetriche da 2048 bit devi dire anchel'algoritmo usato.

SHA2 invece una famiglia di funzioni di hash (224, 256, 384 e 512 bit)usata per determinare l'integrità dei dati. In pratica dando in inputuno stream hai in output una stringa che permette di identificare lostream di partenza (a meno di collisioni) e quindi validarlo. Però,anche se l'attaccante è in grado di generare una collisione è davverodifficile, con l'SHA2, riuscire a generare un contenuto "usabile" (cosainvece abbastanza semplice se si usa MD5 o SHA1 che sono statidichiarati non più sicuri).

ora mi chiedo.. come faccio a vedere se le mie chiavi utilizzano lo sha256?

Con le chiavi asimmetriche puoi firmare un messaggio, però la cifraturache utilizza le chiavi simmetriche è abbastanza pesante per streamlunghi. Quindi per risolvere questa problematica viene firmato l'hashdello stream. In pratica si una SHA2 per generare l'hash e la chiaveprivata per firmare il messaggio. Inoltre lo stream di solito è cifrato,sempre con la chiave privata.

E po questo hash dove é applicato? Sulle chiavi pubbliche? Private? O solo sulle firme che si applicano ai dati?
Ancora non ho capito come vedere l hash che viene utilizzato dalle chiavi...

Quindi non hai l'SHA2 nelle chiavi, ma questo viene usato per generarel'hash prima di apporvi la firma o prima di verificarla.

Se non erro l'uso dell'SHA2 è lo standard.

Ciao
Davide

--
Dizionari: http://linguistico.sourceforge.net/wiki
Database: http://www.postgresql.org
GNU/Linux User: 302090: http://counter.li.org
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

References:
- Delucidazioni GPG
  - From: "developermailist@Vincenzo Gianfelice" <developer.vincenzomailist@gmail.com>

Prev by Date: Schedulatore visuale
Next by Date: Era un problema di entropia, risolto l'impasse avvio sessione X mediante startx dopo il login da console
Previous by thread: Delucidazioni GPG
Next by thread: Schedulatore visuale
Index(es):
- Date
- Thread