我正在尝试确定识别被盗密钥的最佳做法。我几乎没有找到这方面的资料,但希望有某种服务可以在网络上找到密钥时通知我。
例如,我有一个 RSA 密钥。它以某种方式发布在网上的某个地方,但我不知道这一点,并继续使用该密钥。我希望尽快收到发现某些东西的通知,以便可以从已知区域删除公钥。
最好的做法是什么?
答案1
好吧,如果包含私钥的系统曾经被未经授权访问,那么您也应该这样对待密钥。
您无法“共享”私钥,而且无论如何您都无法从公钥转到私钥,因此您所要求的“不可能”(在 PKI 的限制范围内)。只需尝试搜索私钥(或私钥的某个子集),您就会泄露有关您不应共享的密钥的信息。
我猜测,尝试查找私钥、计算所有公钥并对其进行索引的服务“可能”存在,但在计算上是不可行的,或者只是提供在网络上找到的非交互式私钥列表的服务,但我认为这是不现实的。
答案2
您应该始终生成随机密钥对,并且始终将私钥保密。对手不可能仅通过知道公钥是什么来找到私钥。因此互联网上应该没有人能够找到您的私钥。