PGP - Perché hanno una sottochiave di crittografia separata

28

Ecco come viene impostata la mia chiave:

pub  4096R/AAAAAAAA  created: 2012-11-14  expires: 2013-11-14  usage: SC  
                     trust: ultimate      validity: ultimate
sub  4096R/BBBBBBBB  created: 2012-11-14  expires: 2013-11-14  usage: E   
[ultimate] (1). xxxx <[email protected]>

So che questo è standard, per fare in modo che la sottochiave gestisca la decrittografia. Perché è questo? Come è diverso da me avere una sola chiave che fa tutto?

    
posta CaptSaltyJack 09.10.2013 - 23:22
fonte

1 risposta

37

Ci sono tre ragioni principali per cui potresti voler avere chiavi separate:

  1. Non tutti i tipi di chiave possono essere utilizzati sia per la crittografia che per la firma. OpenPGP (il formato implementato da GnuPG) supporta principalmente RSA, ElGamal e DSA; ElGamal è solo crittografato, mentre DSA è solo di accesso. RSA può fare entrambe le cose; tuttavia, c'era un momento in cui RSA era ancora brevettato e da allora alcune implementazioni PGP hanno preso l'abitudine di default su ElGamal + DSA, quindi necessariamente due coppie di chiavi.

  2. Le chiavi di crittografia devono essere affidate a terzi (ad esempio, avere un backup da qualche parte), mentre le chiavi di firma non dovrebbero. Vedi questa risposta per una discussione su questo argomento. Dal momento che una determinata chiave non può essere sia escrowed che non affidata, è necessario disporre di due chiavi.

  3. Idealmente, dovresti avere una sola chiave master, che tieni in un portachiavi appositamente protetto e sottochiavi per le attività quotidiane. La chiave principale dovrebbe essere la tua chiave "radice" senza data di scadenza; è grande e ingombrante e forse inefficiente, ma non lo si usa spesso. Le sottochiavi possono essere più brevi (quindi più efficienti) perché le definisci avere una breve durata (ad esempio uno o due anni): non devi renderle abbastanza grasse per sopravvivere ai progressi tecnologici da uno o due decenni a questa parte. La chiave master viene utilizzata come "chiave di revoca" nel caso in cui una delle tue sottochiavi venga rubata.

risposta data 10.10.2013 - 00:12
fonte

Leggi altre domande sui tag