DerHandbuchlegt nahe, dass symmetrische Verschlüsselung angemessen ist (und daher nicht weniger sicher als Public-Key-Verschlüsselung?), wenn nur auf den Klartext zugegriffen werden muss. Aber lautDasDa für diesen Beitrag gpg --symmetricnur eine Passphrase erforderlich ist, muss ein Angreifer nur diese Passphrase mit Brute Force knacken und nicht den vollständigen, daraus generierten 128/256-Bit-Schlüssel.
Meiner Ansicht nach besteht das richtige Verfahren darin, eine 128/256-Bit-Schlüsseldatei zu haben, mit der meine Daten symmetrisch verschlüsselt werden. Diese wiederum ist symmetrisch verschlüsselt mit einem Schlüssel, der aus einer Passphrase generiert wird, genau wie private Schlüssel geschützt werden. Dazu müsste ein Angreifer den vollständigen symmetrischen Schlüssel mit Brute Force knacken – selbst wenn er meine Schlüsseldatei bekäme, müsste er trotzdem meine Passphrase mit Brute Force knacken.
Unterstützt gpgdiese Art der Nutzung? Ist mein Verständnis der Situation fehlerhaft, gibt es einen Grund, warum dies kein gültiger Anwendungsfall ist?
--
Oder anders ausgedrückt:
InDasFrage: Es wird davon ausgegangen, dass der Passphrase-Schutz ausreichend ist. Meine Frage lautet jedoch im Grunde: Was passiert, wenn ich mir nicht zutraue, mir ein gutes 256-Bit-Passwort zu merken? Kann ich eine symmetrische Schlüsseldatei genauso verwenden wie meinen privaten Schlüssel? Natürlich könnte ich auch einfach meinen privaten Schlüssel verwenden, aber im Handbuch wird vorgeschlagen, dass in dieser Situation die symmetrische Verschlüsselung die idiomatische Wahl wäre.
Antwort1
In OpenPGP gibt es zwei Möglichkeiten, den symmetrischen (Sitzungs-)Schlüssel aus der Passphrase abzuleiten: die direkte Verwendung der Passphrase zum Ableiten des Schlüssels oder die Generierung eines zufälligen Schlüssels, der wiederum mit dem generierten Schlüssel verschlüsselt wird. In beiden Fällen wird der symmetrische Schlüssel jedoch immer zusammen mit dem Geheimtext gespeichert und kann nicht aufgespalten werden, ohne die Kompatibilität mit dem OpenPGP-Format zu verlieren. Letztendlich kann der Schlüssel auch mit Brute-Force-Methoden über die Passphrase geknackt werden, unabhängig davon, welche Art der Schlüsselspeicherung verwendet wird.
OpenPGP erschwert jedoch das Brute-Forcing der Passphrase, indem es eine große Eingabe generiert, die gehasht werden muss (mehrfache Iteration der Passphrase für die Hash-Eingabe). Auf diese Weise ist das Brute-Forcing der Passphrase viel teurer. VonRFC 4880, OpenPGP, 3.7.1.3. Iteriertes und gesalzenes S2K:
Dazu gehören sowohl ein Salt als auch eine Oktettanzahl. Das Salt wird mit der Passphrase kombiniert und der resultierende Wert wird wiederholt gehasht. Dies erhöht den Arbeitsaufwand eines Angreifers bei Wörterbuchangriffen noch weiter.
In GnuPG die Anzahl der Wiederholungen der Passphrase (und einige andere Optionen)--s2k-*kann mit den Optionen angepasst werden.