Ho ricevuto "BEGIN PGP PUBLIC KEY BLOCK" allegato a un'e-mail e non so di cosa si tratta [duplicato]

19

Va bene, non ho idea di cosa sia, ma ho appena ricevuto un'email che contiene questo.

-----BEGIN PGP PUBLIC KEY BLOCK-----

[redacted]

-----END PGP PUBLIC KEY BLOCK-----

Se questo significa qualcosa, qualcuno potrebbe decodificarlo per me? Altrimenti, qualcuno potrebbe dirmi di cosa si tratta?

— user958945
fonte

In che tipo di attaccamento c'era?

— BruceWayne,

52

Che cosa hanno fatto le ricerche / ricerche effettuate prima di porre questa domanda? Quali dettagli non ha spiegato?

— jpmc26

61

Questa è la chiave pubblica PGP appartenente (presumibilmente) all'autore dell'e-mail. I suoi usi principali sono:

per crittografare i messaggi che stai inviando al proprietario della chiave (ad esempio la privacy della posta elettronica);
per verificare le firme digitali fatte dal proprietario della chiave (prova di paternità).

Lo standard PGP è utilizzato da software come GnuPG (Gpg4win), Enigmail , OpenKeychain, Symantec Desktop Email Encryption (aka PGP.com) e così via.

Per quanto riguarda il motivo per cui ti è stato inviato: dovrai chiedere alla persona da cui l'hai ricevuto. Si noti che alcune app di posta iniziano ad allegare automaticamente la chiave PGP del mittente a tutti i messaggi non appena la funzione è impostata, anche se il mittente non l'ha esattamente richiesta.

Se il mittente non ha richiesto espressamente l'utilizzo della crittografia o della firma PGP e se non si intende utilizzarlo, è possibile ignorare l'allegato.

— grawity
fonte

22

Avviso obbligatorio che il fumetto di xkcd sta scherzando. Potrei semplicemente scrivere quel testo nella parte superiore di un'e-mail e non significa nulla. Non cadere per questo!

— Corse di leggerezza con Monica,

Tuttavia, le persone che si innamorerebbero di quella particolare cosa sono tutte molto attente alla sicurezza. Anche le banche non inviano e-mail firmate a questo punto, il che è stupido.

— xyious

@xyious PGP è morto, ok? Vedi moxie.org/blog/gpg-and-me , schneier.com/blog/archives/2016/12/giving_up_on_pg.html . blog.cryptographyengineering.com/2014/08/13/… , blog.filippo.io/giving-up-on-long-term-pgp , e ce ne sono molti, molti altri.

— Joker_vD

PGP / GPG NON è morto, tuttavia ha un problema di istruzione e usabilità non geek. È uno dei metodi PKI più semplici da utilizzare per cose come la posta elettronica. Uso PGP quasi ogni giorno così com'è.

— linuxdev2013,

15

È innocuo e forse utile. Gli utenti di PGP (Pretty Good Privacy) (e altre app simili) inviano una ' chiave pubblica ', come quella che hai visto nel messaggio, così le persone che hanno la chiave per quell'utente possono verificare che il messaggio provenga realmente dal mittente indicato. La "chiave pubblica" può anche essere utilizzata per crittografare un messaggio che chiunque con un'app simile a PGP può inviare a quell'utente che solo quell'utente può decrittografare con la propria chiave privata.

— K7AAY
fonte

2

Conoscevo un sito Web che eseguiva la decodifica dei pacchetti PGP, ma non riesco a trovarlo ora, quindi eccone uno dal mio sistema:

# off=0 ctb=99 tag=6 hlen=3 plen=269
:public key packet:
    version 4, algo 1, created 1537793680, expires 0
    pkey[0]: [2048 bits]
    pkey[1]: [17 bits]
    keyid: 19C85A0C5ACBA088
# off=272 ctb=b4 tag=13 hlen=2 plen=33
:user ID packet: "[snipped]"
# off=307 ctb=89 tag=2 hlen=3 plen=334
:signature packet: algo 1, keyid 19C85A0C5ACBA088
    version 4, created 1537793680, md5len 0, sigclass 0x13
    digest algo 10, begin of digest d2 ec
    hashed subpkt 33 len 21 (issuer fpr v4 16683B6345CFB4E0D68C3A6819C85A0C5ACBA088)
    hashed subpkt 2 len 4 (sig created 2018-09-24)
    hashed subpkt 27 len 1 (key flags: 03)
    hashed subpkt 11 len 4 (pref-sym-algos: 9 8 7 2)
    hashed subpkt 21 len 5 (pref-hash-algos: 10 9 8 11 2)
    hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
    hashed subpkt 30 len 1 (features: 01)
    hashed subpkt 23 len 1 (keyserver preferences: 80)
    subpkt 16 len 8 (issuer key ID 19C85A0C5ACBA088)
    data: [2047 bits]
# off=644 ctb=b9 tag=14 hlen=3 plen=269
:public sub key packet:
    version 4, algo 1, created 1537793680, expires 0
    pkey[0]: [2048 bits]
    pkey[1]: [17 bits]
    keyid: 4364B1912195D6CB
# off=916 ctb=89 tag=2 hlen=3 plen=310
:signature packet: algo 1, keyid 19C85A0C5ACBA088
    version 4, created 1537793680, md5len 0, sigclass 0x18
    digest algo 10, begin of digest 20 d2
    hashed subpkt 33 len 21 (issuer fpr v4 16683B6345CFB4E0D68C3A6819C85A0C5ACBA088)
    hashed subpkt 2 len 4 (sig created 2018-09-24)
    hashed subpkt 27 len 1 (key flags: 0C)
    subpkt 16 len 8 (issuer key ID 19C85A0C5ACBA088)
    data: [2046 bits]

Contiene una chiave master RSA-2048 (id 19C85A0C5ACBA088) firmata da sola, come standard, e non controfirmata / approvata da nessun altro, che può (o meno) influenzare se e quanto ti fidi, e che specifica l'e- indirizzo di posta elettronica del proprietario (su gmail - presumibilmente la persona che ti ha inviato la posta). Contiene inoltre una sottochiave di crittografia RSA-2048 (4364B1912195D6CB) firmata dalla chiave master, come standard. Se decidi che questo blocco di chiavi proviene veramente da quella persona (non falsificata), puoi usarlo per crittografare le e-mail (o i file) in modo che siano sicure: nessuno oltre a quella persona dovrebbe essere in grado di decrittografarle.

— dave_thompson_085
fonte

13

Non sono sicuro che sia bello mettere in chiaro l'indirizzo e-mail personale di quella persona per migliaia di persone. Due volte.

— Graipher