Héctor, parte de este equipo, nos hizo el favor de crear este post ya que controla perfectamente este tema.
Solución:
El intercambio de claves se realiza de forma rutinaria sin utilizar servicios externos, mediante el uso de criptografía. El más popular key algoritmo de intercambio es Diffie-Hellman.
Citando Wikipedia:
El Diffie-Hellman key método de intercambio permite que dos partes que tienen sin conocimiento previo el uno del otro establecer conjuntamente un secreto compartido key por un canal inseguro.
Si usa Diffie-Hellman, no use la versión anónima, sino DH fija o efímera. Ver esta respuesta.
Claramente, no use su propia criptografía para nada real (es decir, fuera del autoaprendizaje). Usa algo como OpenSSL para eso.
¿Cuál es la mejor alternativa para cambiar un key?
¿Mejor de qué manera? ¿Seguridad? ¿Sencillez?
En el caso de la seguridad, tenga múltiples métodos de key transmisión.
Por ejemplo, proporcione 10 caracteres por teléfono, 10 caracteres por mensaje de texto, algunos más a través de onetimesecret, algunos más a través de otro sitio web (por ejemplo, https://read-once.info).
De esta manera, incluso si uno de los sitios web/método de transmisión no es de confianza, no tienen la keypero sólo una pequeña parte de ella.
Por supuesto, en lugar de texto sin formato, también puede cifrarlo primero con el código público de Alice. key. Si quieres, también puedes dar inútil (o no suficiente) información para que Alice encuentre fácilmente la key.
Por ejemplo, dale a Alicia “ABC”, “123”, “[email protected]#” y “XYZ” a través de diferentes métodos de transmisión cuando la key es “XYZ123ABC” (“[email protected]#” no utilizado).
Es decir, haz que Alice permute todas las piezas dadas.
No confiaría en un tercero para almacenar secretos, sin embargo, me gusta la conveniencia de poder compartir a través de un enlace URL.
Para tratar de obtener lo mejor de ambos mundos, escribí self-destruct-o (https://self-destruct-o.control-alt-del.org/).
Es similar en concepto a onetimesecret pero con algunas ventajas:
- Es trivial ejecutar su propia instancia, código e instrucciones aquí: https://github.com/marksteele/self-destruct-o
- ¡No se requieren servidores! (aunque necesitará una cuenta de Amazon AWS). ¡El backend puede ejecutarse en el nivel gratuito!
- Al proporcionar una frase de contraseña para el secreto, deriva un cifrado key de la frase de contraseña y luego encripta el valor usando AES-256 en modo CBC en su navegador antes de enviarlo al servicio de back-end.
Puede enviar el enlace por correo electrónico y compartir la fase de paso a través de un segundo canal (por ejemplo, teléfono, sms) y puede estar seguro de que nadie puede interceptar el secreto.
Más detalles aquí: https://www.control-alt-del.org/post/one-time-password-sharing-securely/
Aquí tienes las reseñas y puntuaciones
Si conservas algún reparo o forma de arreglar nuestro tutorial puedes realizar un exégesis y con gusto lo analizaremos.