Điểm:2

Làm cách nào để bạn nhận được Khóa công khai từ Dấu vân tay

lá cờ in

Tôi đã thấy một số người đặt khóa công khai (Tôi cho rằng họ đề cập đến dấu vân tay PGP PK) trên các điểm mạnh và giống nhau để họ có thể tiếp cận bằng cách sử dụng một kênh an toàn.

Từ POV của tôi, rõ ràng là phải có cách để lấy PK ban đầu từ dấu vân tay (nếu không có, tôi thực sự không tìm thấy điểm chia sẻ dấu vân tay).

Tuy nhiên, tôi đã đọc được rằng dấu vân tay là một hàm băm và theo kinh nghiệm của tôi, việc đảo ngược một hàm băm chỉ bằng cách cố gắng hoàn toàn không tốt chút nào. Bạn sẽ làm điều này như thế nào?

kelalaka avatar
lá cờ in
Chà, một khóa chung có thể dài đặc biệt đối với RSA, mô đun 2048 bit $n$ cộng với số mũ công khai $e$ tạo thành $(n,e)$ làm khóa chung. Nếu bạn băm nó bằng SHA-256 thì nó sẽ ngắn hơn nhiều và không bị xung đột vì chúng tôi cần khoảng $2^{128}$ khóa công khai để xem một khóa có xác suất cao. Do đó có thể sử dụng nó. Ngay cả Bitcoin cũng sử dụng RIPEMD-160 cho việc này; $$A = RIPEMD160(SHA256(K)) $$
Néstor Llop avatar
lá cờ in
Vì vậy, có cách nào sử dụng dấu vân tay để tôi có thể gửi nội dung bằng khóa chung tương ứng không?
kelalaka avatar
lá cờ in
Bạn cần tìm một cái tương ứng ...
fgrieu avatar
lá cờ ng
Từ quan điểm về tiền điện tử, không có cách nào để lấy khóa công khai từ hàm băm, dấu vân tay của nó. Nhưng nếu một người xem xét điều này từ quan điểm CNTT; có thể có (và đã từng có) máy chủ khóa công khai, từ đó bạn lấy khóa công khai (được cung cấp tên hoặc email của người đó; hoặc có thể là dấu vân tay, mặc dù tôi không thể nhớ đây từng là quy trình chuẩn), và sau đó kiểm tra khóa chung với dấu vân tay của nó. Một tùy chọn khác là gửi email yêu cầu khóa chung, sau đó kiểm tra khóa chung với dấu vân tay của nó.
Néstor Llop avatar
lá cờ in
oh roger rằng: sử dụng "bảng tra cứu" hoặc bằng cách yêu cầu PK. Và vâng, đối với tôi, dường như không thể lấy được dữ liệu thực tế được cung cấp một hàm băm, nhưng tôi đã thấy rất nhiều người xuất bản các hàm băm cho rằng nó đủ để liên lạc
Điểm:3
lá cờ kr

Bạn không thể lấy khóa công khai từ dấu vân tay.

Mục đích của việc chia sẻ dấu vân tay là để đảm bảo rằng khóa công khai cụ thể đó thực sự thuộc về một người cụ thể.

Khi bạn muốn mã hóa một tin nhắn cho một người nào đó, bạn yêu cầu người này cung cấp khóa công khai và nhận nó qua Email. Đối với một số người, ví dụ: đối với một số nhà phát triển, bạn có thể tìm khóa công khai của họ trên các nguồn trực tuyến khác nhau.

Khi bạn nhận được khóa công khai, qua Email hoặc bằng cách tải xuống, làm thế nào để bạn biết rằng nó thực sự thuộc về một người cụ thể? Bạn tính toán dấu vân tay và so sánh nó với dấu vân tay bạn có được qua một số kênh mà bạn tin tưởng, ví dụ: bạn đã tham dự một buổi nói chuyện của người này và dấu vân tay được hiển thị trên các slide thuyết trình hoặc bạn đã có dấu vân tay từ tài khoản Twitter hoặc Facebook của người này.

Tại sao không chia sẻ khóa công khai trực tiếp, ví dụ: qua slide? Bởi vì các khóa công khai có thể tương đối dài và đó là lý do tại sao khó có thể nhúng chúng và khó xác minh. Trong khi việc nhúng và xác minh dấu vân tay rất dễ dàng.

Điểm:1
lá cờ in
mjt

Khi mọi người đưa ra dấu vân tay khóa công khai của họ, đó hầu như luôn là khóa PGP.

Thông thường, bạn có thể lấy PK ban đầu từ dấu vân tay bằng cách tra cứu dấu vân tay trên máy chủ khóa PGP công khai.

Ví dụ: nếu ai đó cho bạn biết dấu vân tay khóa PGP của họ là 5744 6EFD E098 E5C9 34B6 9C7D C208 THÊM 26C2 B797 bạn có thể tra cứu nó trên máy chủ khóa PGP như vậy hoặc nhập nó vào GPG như vậy: $ gpg --keyserver keyserver.ubuntu.com --recv-keys 57446efde098e5c934b69c7dc208adde26c2b797

Tất nhiên, trong thời đại đại dịch và các bài thuyết trình trực tuyến hiện nay, người ta có thể chỉ cần đặt một liên kết, hoặc thậm chí toàn bộ khóa, vào một bài thuyết trình được gửi bằng điện tử.

Néstor Llop avatar
lá cờ in
Cảm ơn bạn vì câu trả lời! Tuy nhiên, tôi muốn hỏi thêm một số thông tin. Rõ ràng là không phải mọi khóa công khai đều nằm trong máy chủ mà bạn đề cập. Ví dụ, làm thế nào bạn có thể đưa máy chủ của mình vào máy chủ tra cứu?
lá cờ kr
@mjt: Việc tin cậy các khóa hoặc dấu vân tay trong "bản trình bày được gửi bằng điện tử" có thể rất nguy hiểm. Kẻ tấn công có thể đặt chữ ký riêng hoặc khóa công khai trong bản trình bày, đăng ký nó bằng email tương tự như email của bạn và có thể xác nhận đó là bạn. Người nhận sẽ gửi tin nhắn cho kẻ tấn công tin rằng đó là bạn. Người nhận sẽ tin tưởng mã được ký bởi khóa của kẻ tấn công và tin rằng đó là mã của bạn. Điều này có thể rất nguy hiểm. Dấu vân tay là cần thiết **cụ thể là để ngăn chặn** điều này và dấu vân tay phải được chia sẻ qua kênh **đáng tin cậy**, chứ không chỉ đơn giản là "được gửi bằng điện tử".

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.