s3cmd с ключом шифрования OpenPGP - это пароль или кодовая фраза?

Question

Я установил 10-значный комплексный пароль для GnuPG с s3cmd.

Run s3cmd --configure

Вам будет предложено для двух ключей - скопировать и вставить их в электронном подтверждении или со страницы учетной записи Amazon. Будьте осторожны при копировании ! Они чувствительны к регистру и должны быть введены точно или вы будете получать ошибки о недопустимых подписях или аналогичных.

Вы можете указать ключ шифрования GPG, который будет использоваться для шифрования ваших файлов перед отправкой их на Amazon. Использование GPG шифрование защитит ваши данные от чтения сотрудниками Amazon или любого, кто может получить к вам доступ, пока они хранятся в Amazon S3.

Теперь я не уверен, что я должен установить кодовую фразу (а не пароль). Может ли Amazon легко расшифровать (у них огромная вычислительная мощность) комплексный пароль на 10 символов?

Answer 1

«Парольная фраза» - это просто общий термин для «пароля» в среде OpenPGP. Кодовая фраза используется для вывода симметричного ключа через OpenPGP's string-to-key function. GnuPG устанавливает разумное значение по умолчанию для хеш-алгоритма и количества используемых итераций, что делает грубую форсировку кодовой фразы OpenPGP очень дорогостоящей операцией. Брут-форсирование кодовой фразы из десяти символов определенно не easy, если оно случайное и не может быть получено из обычных списков паролей; если вы считаете, что ваша информация особенно ценна для сущностей, которые (а) могут иметь доступ к зашифрованной информации, и (б) обладают огромными вычислительными полномочиями, вы можете рассмотреть возможность применения более сильной кодовой фразы и/или настройки параметров «строка-ключ», чтобы сделать тестирование одной ключевой фразы дороже.

Более подробное обсуждение стоимости кодовых фраз в OpenPGP можно прочитать в "At what point does adding more iterations to PBKDF2 provide no extra security?".