Рейтинг:2

Как получить открытый ключ по отпечатку пальца

флаг in

Я видел, как некоторые люди ставили свои открытый ключ (Я полагаю, что они ссылаются на PGP PK) отпечатки пальцев в точках питания и т.п., чтобы с ними можно было связаться по безопасному каналу.

Из моего POV очевидно, что должен быть способ получить исходный PK из отпечатка пальца (если его не было, я не вижу смысла делиться отпечатком).

Тем не менее, я читал, что отпечаток пальца — это хэш, и, судя по моему опыту, перевернуть хеш, просто постаравшись, совсем не здорово. Как бы вы это сделали?

kelalaka avatar
флаг in
Что ж, открытый ключ может быть длинным, особенно для RSA, 2048-битный модуль $n$ плюс открытый показатель степени $e$, который формирует $(n,e)$ в качестве открытого ключа. Если вы хэшируете его с помощью SHA-256, то он будет намного короче и без коллизий, поскольку нам нужно около $2^{128}$ открытого ключа, чтобы увидеть его с высокой вероятностью. Поэтому его можно использовать. Даже Биткойн использует для этого RIPEMD-160; $$A = RIPEMD160(SHA256(K)) $$
Néstor Llop avatar
флаг in
Итак, есть ли способ использовать отпечаток пальца, чтобы я мог отправлять контент с использованием соответствующего открытого ключа?
kelalaka avatar
флаг in
Нужно найти соответствующий...
fgrieu avatar
флаг ng
С точки зрения криптографии невозможно получить открытый ключ из его хэша, отпечатка пальца. Но если посмотреть на это с точки зрения ИТ; могут быть (и раньше были) серверы открытых ключей, с которых вы получаете открытый ключ (учитывая имя или адрес электронной почты человека; или, возможно, отпечаток пальца, хотя я не могу припомнить, чтобы это когда-либо было стандартной процедурой), а затем проверьте открытый ключ по отпечатку пальца. Другой вариант — отправить электронное письмо с запросом открытого ключа, а затем проверить открытый ключ по отпечатку пальца.
Néstor Llop avatar
флаг in
о, понял: используя «таблицу поиска» или запросив ПК. И да, мне казалось невозможным получить реальные данные по хэшу, но я видел много людей, публикующих хэши, утверждая, что этого достаточно, чтобы связаться
Рейтинг:3
флаг kr

Вы не можете получить открытый ключ от отпечатка пальца.

Цель обмена отпечатками пальцев — убедиться, что конкретный открытый ключ действительно принадлежит конкретному человеку.

Когда вы хотите зашифровать сообщение для какого-либо человека, вы запрашиваете у этого человека открытый ключ и получаете его по электронной почте. Для некоторых лиц, т.е. открытый ключ некоторых разработчиков можно найти на разных интернет-ресурсах.

Когда вы получаете открытый ключ, по электронной почте или путем загрузки, как вы узнаете, что он действительно принадлежит конкретному человеку? Вы вычисляете отпечаток пальца и сравниваете его с тем, который вы получили по какому-то каналу, которому вы доверяете, например. вы присутствовали на выступлении этого человека, и отпечаток пальца был показан на слайдах презентации, или у вас есть отпечаток пальца из аккаунта этого человека в Twitter или Facebook.

Почему бы не поделиться открытым ключом напрямую, например. через слайды? Потому что открытые ключи могут быть относительно длинными, и поэтому их сложно встроить и трудно проверить. Принимая во внимание, что встраивание и проверка отпечатка пальца проста.

Рейтинг:1
флаг in
mjt

Когда люди раздают отпечатки своих открытых ключей, это почти всегда ключ PGP.

Обычно вы можете получить исходный PK из отпечатка пальца, просмотрев отпечаток пальца на сервере открытых ключей PGP.

Например, если кто-то говорит вам, что его отпечаток ключа PGP 5744 6EFD E098 E5C9 34B6 9C7D C208 ДОБАВИТЬ 26C2 B797 ты можешь поищите его на сервере ключей PGP вот так или импортируйте его в GPG следующим образом: $ gpg --keyserver keyserver.ubuntu.com --recv-keys 57446efde098e5c934b69c7dc208adde26c2b797

Конечно, в нынешнюю эпоху пандемий и онлайн-презентаций можно просто вставить ссылку или даже целый ключ в электронную презентацию.

Néstor Llop avatar
флаг in
Спасибо за ваш ответ! Однако я хотел бы попросить дополнительную информацию. Очевидно, что не все открытые ключи находятся на упомянутом вами сервере. Например, как бы вы поместили свои данные на сервер поиска?
флаг kr
@mjt: доверять ключам или отпечаткам пальцев в «электронной презентации» может быть очень опасно. Злоумышленник может поставить свою подпись или публичный ключ в презентацию, зарегистрировать ее с помощью электронной почты, похожей на вашу, и может заявить, что это вы. Получатель будет отправлять сообщения злоумышленнику, полагая, что это вы. Получатель будет доверять коду, подписанному ключом злоумышленника, полагая, что это ваш код. Это может быть очень опасно. Отпечаток пальца необходим **а именно для предотвращения** этого, и он должен передаваться через **доверенный** канал, а не просто «в электронном виде».

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.