Score:2

คุณจะได้รับรหัสสาธารณะจากลายนิ้วมือได้อย่างไร

ธง in

เคยเห็นบางคนใส่ กุญแจสาธารณะ (ฉันคิดว่าพวกเขาหมายถึง PGP PK) ลายนิ้วมือบนพาวเวอร์พอยต์และเหมือนกันเพื่อให้สามารถเข้าถึงได้โดยใช้ช่องทางที่ปลอดภัย

จาก POV ของฉัน เห็นได้ชัดว่าควรมีวิธีการรับ PK ดั้งเดิมจากลายนิ้วมือ (หากไม่มี ฉันก็ไม่พบจุดที่จะแชร์ลายนิ้วมือจริงๆ)

อย่างไรก็ตาม ฉันได้อ่านพบว่าลายนิ้วมือเป็นแฮช และจากประสบการณ์ของฉัน การย้อนกลับแฮชด้วยการพยายามอย่างหนักนั้นไม่ได้ดีเลย คุณจะทำอย่างไร

kelalaka avatar
in flag
คีย์สาธารณะสามารถยาวได้โดยเฉพาะอย่างยิ่งสำหรับ RSA, โมดูลัส 2048 บิต $n$ บวกกับเลขชี้กำลังสาธารณะ $e$ ซึ่งสร้าง $(n,e)$ เป็นคีย์สาธารณะ หากคุณแฮชด้วย SHA-256 ก็จะสั้นกว่ามากและไม่มีการชนกัน เนื่องจากเราต้องการคีย์สาธารณะประมาณ $2^{128}$ เพื่อดูคีย์ที่มีความเป็นไปได้สูง ดังนั้นจึงเป็นไปได้ที่จะใช้มัน แม้แต่ Bitcoin ก็ใช้ RIPEMD-160 สำหรับสิ่งนี้ $$A = RIPEMD160(SHA256(K)) $$
Néstor Llop avatar
in flag
มีวิธีใดบ้างที่จะใช้ลายนิ้วมือเพื่อส่งเนื้อหาโดยใช้รหัสสาธารณะที่เกี่ยวข้อง
kelalaka avatar
in flag
คุณต้องค้นหาสิ่งที่สอดคล้องกัน...
fgrieu avatar
ng flag
จากมุมมองของการเข้ารหัสลับ ไม่มีทางที่จะรับรหัสสาธารณะจากแฮชหรือลายนิ้วมือได้ แต่ถ้ามองในแง่ไอที อาจมี (และเคยเป็น) เซิร์ฟเวอร์คีย์สาธารณะซึ่งคุณจะได้รับคีย์สาธารณะ (โดยระบุชื่อหรืออีเมลของบุคคลนั้น หรืออาจเป็นลายนิ้วมือ แม้ว่าฉันจะจำไม่ได้ว่านี่เป็นขั้นตอนมาตรฐานก็ตาม) จากนั้นตรวจสอบรหัสสาธารณะว่าเป็นลายนิ้วมือ อีกทางเลือกหนึ่งคือการส่งอีเมลเพื่อขอรหัสสาธารณะ จากนั้นตรวจสอบรหัสสาธารณะว่าเป็นลายนิ้วมือ
Néstor Llop avatar
in flag
โอ้ โรเจอร์ว่า: ใช้ "ตารางค้นหา" หรือโดยการขอ PK และใช่ สำหรับฉันแล้ว ดูเหมือนว่าเป็นไปไม่ได้เลยที่จะรับข้อมูลจริงจากแฮช แต่ฉันเห็นผู้คนจำนวนมากเผยแพร่แฮชโดยอ้างว่าเพียงพอที่จะติดต่อได้
Score:3
ธง kr

คุณไม่สามารถรับรหัสสาธารณะจากลายนิ้วมือ

จุดประสงค์ของการแบ่งปันลายนิ้วมือคือเพื่อให้แน่ใจว่ากุญแจสาธารณะนั้นเป็นของบุคคลใดบุคคลหนึ่งจริงๆ

เมื่อคุณต้องการเข้ารหัสข้อความถึงบางคน คุณต้องขอรหัสสาธารณะจากบุคคลนี้และรับรหัสดังกล่าวทางอีเมล สำหรับบางคนเช่น สำหรับนักพัฒนาบางราย คุณสามารถค้นหารหัสสาธารณะได้จากแหล่งข้อมูลออนไลน์ต่างๆ

เมื่อคุณได้รับรหัสสาธารณะทางอีเมลหรือโดยการดาวน์โหลด คุณจะรู้ได้อย่างไรว่าเป็นของบุคคลนั้นจริงๆ คุณคำนวณลายนิ้วมือและเปรียบเทียบกับลายนิ้วมือที่คุณได้รับผ่านช่องทางที่คุณเชื่อถือ เช่น คุณได้เข้าร่วมการพูดคุยของบุคคลนี้และลายนิ้วมือปรากฏบนสไลด์การนำเสนอ หรือคุณได้รับลายนิ้วมือจากบัญชี Twitter หรือ Facebook ของบุคคลนี้

ทำไมไม่แชร์รหัสสาธารณะโดยตรง เช่น ผ่านสไลด์? เนื่องจากคีย์สาธารณะสามารถมีความยาวได้ค่อนข้างยาว และนั่นเป็นเหตุผลว่าทำไมการฝังคีย์จึงทำได้ยากและตรวจสอบได้ยาก ในขณะที่การฝังและตรวจสอบลายนิ้วมือเป็นเรื่องง่าย

Score:1
ธง in
mjt

เมื่อมีคนแจกลายนิ้วมือคีย์สาธารณะ ก็มักจะเป็นคีย์ PGP

โดยปกติแล้ว คุณจะได้รับ PK ดั้งเดิมจากลายนิ้วมือโดยค้นหาลายนิ้วมือบนเซิร์ฟเวอร์คีย์ PGP สาธารณะ

ตัวอย่างเช่น หากมีคนบอกคุณว่าลายนิ้วมือของคีย์ PGP คือ 5744 6EFD E098 E5C9 34B6 9C7D C208 เพิ่ม 26C2 B797 คุณสามารถ ค้นหาบนเซิร์ฟเวอร์คีย์ PGP เช่นนั้น หรือนำเข้าสู่ GPG ดังนี้: $ gpg --keyserver keyserver.ubuntu.com --recv-keys 57446efde098e5c934b69c7dc208adde26c2b797

แน่นอนว่าในยุคปัจจุบันที่มีการระบาดใหญ่และการนำเสนอทางออนไลน์ เราเพียงแค่ใส่ลิงก์หรือแม้แต่คีย์ทั้งหมดลงในการนำเสนอทางอิเล็กทรอนิกส์

Néstor Llop avatar
in flag
ขอบคุณสำหรับคำตอบ! ฉันต้องการขอข้อมูลเพิ่มเติม แน่นอนว่าไม่ใช่ทุกคีย์สาธารณะที่อยู่ในเซิร์ฟเวอร์ที่คุณพูดถึง คุณจะนำข้อมูลของคุณเข้าสู่เซิร์ฟเวอร์การค้นหาได้อย่างไร เป็นต้น
kr flag
@mjt: การเชื่อถือคีย์หรือลายนิ้วมือใน "งานนำเสนอที่ส่งทางอิเล็กทรอนิกส์" อาจเป็นอันตรายได้ ผู้โจมตีสามารถใส่ลายเซ็นของตัวเองหรือรหัสสาธารณะในงานนำเสนอ ลงทะเบียนโดยใช้อีเมลที่คล้ายกับของคุณ และสามารถอ้างว่าเป็นคุณ ผู้รับจะส่งข้อความไปยังผู้โจมตีที่เชื่อว่าเป็นคุณ ผู้รับจะเชื่อถือรหัสที่ลงนามโดยคีย์ของผู้โจมตีโดยเชื่อว่าเป็นรหัสของคุณ นี่อาจเป็นอันตรายมาก จำเป็นต้องใช้ลายนิ้วมือ **เพื่อป้องกัน** สิ่งนี้ และควรแชร์ผ่านช่องทาง **ที่เชื่อถือได้** ไม่ใช่แค่ "ส่งทางอิเล็กทรอนิกส์"

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา