Usando o par de chaves ssh para criptografar arquivos

Question

Em termos de segurança, é altamentenão recomendadousar o mesmo par de chaves para autenticação e criptografia de dados. Por exemplo, se uma chave usada para autenticação for comprometida, também serão revelados todos os dados previamente criptografados com ela. (Não sou nada bom quando se trata de criptografia, mas acredito que há vários problemas desse lado também.)

Além disso, gerar uma segunda chave leva menos de 10 segundos (equeem um computador de cinco anos).

Istoétecnicamente é possível criptografar dados usando um par de chaves SSH, embora, como observou @DavidSchwartz, apenas chaves RSA possam ser usadas para isso – DSA e ECDSA só podem ser usadas para assinatura.

No entanto, isso não significa que você pode simplesmente importar a chave para o GnuPG e esperar que funcione.Esta postagemmostra algumas diferenças entre os certificados PGP usados pelo GnuPG e as chaves RSA simples usadas pelo SSH; resumindo, as "chaves" do GnuPG contêm muito mais informações do que apenas parâmetros RSA, e simplesmente não existem ferramentas escritas que possam agrupar uma chave existente em um certificado GPG - principalmente para evitar problemas de segurança.

O "outro" padrão de criptografia de e-mail, S/MIME, usa um formato de certificado mais simples (X.509) esãoferramentas amplamente disponíveis para criar um certificado baseado em uma chave RSA existente. Finalmente, vocêpoderiaabandone os padrões existentes e crie os seus próprios, usando funções RSA simples e antigas para criptografar, que estão disponíveis para praticamente todas as linguagens de programação e até mesmo como comandos shell via openssl. Cavar a própria cova é deixado como exercício para o leitor.

Answer 1

Em termos de segurança, é altamentenão recomendadousar o mesmo par de chaves para autenticação e criptografia de dados. Por exemplo, se uma chave usada para autenticação for comprometida, também serão revelados todos os dados previamente criptografados com ela. (Não sou nada bom quando se trata de criptografia, mas acredito que há vários problemas desse lado também.)

Além disso, gerar uma segunda chave leva menos de 10 segundos (equeem um computador de cinco anos).

Istoétecnicamente é possível criptografar dados usando um par de chaves SSH, embora, como observou @DavidSchwartz, apenas chaves RSA possam ser usadas para isso – DSA e ECDSA só podem ser usadas para assinatura.

No entanto, isso não significa que você pode simplesmente importar a chave para o GnuPG e esperar que funcione.Esta postagemmostra algumas diferenças entre os certificados PGP usados pelo GnuPG e as chaves RSA simples usadas pelo SSH; resumindo, as "chaves" do GnuPG contêm muito mais informações do que apenas parâmetros RSA, e simplesmente não existem ferramentas escritas que possam agrupar uma chave existente em um certificado GPG - principalmente para evitar problemas de segurança.

O "outro" padrão de criptografia de e-mail, S/MIME, usa um formato de certificado mais simples (X.509) esãoferramentas amplamente disponíveis para criar um certificado baseado em uma chave RSA existente. Finalmente, vocêpoderiaabandone os padrões existentes e crie os seus próprios, usando funções RSA simples e antigas para criptografar, que estão disponíveis para praticamente todas as linguagens de programação e até mesmo como comandos shell via openssl. Cavar a própria cova é deixado como exercício para o leitor.

Usando o par de chaves ssh para criptografar arquivos

Responder1

informação relacionada