Qualcosa da fare sulle vecchie chiavi gpg?

Naviga le tue risposte
21

Un bel po 'di anni fa (nella scuola media) ho creato alcune chiavi gpg, le ho pubblicate su un server delle chiavi, ecc. perché ero un ragazzino esperto sul blocco. Ora ho passato alcuni nuovi computer e sistemi operativi, ecc. E ho perso le chiavi private e i certificati di revoca. È una buona cosa che non abbia creato le chiavi con una scadenza, in modo che possano vivere per sempre!

La mia domanda è questa, queste chiavi saranno fuori fino alla fine dei tempi? o ad un certo punto saranno cancellati? È vero che non riesco a rimuoverli senza i certificati di revoca? Sono i loro problemi che potrei incontrare con queste chiavi esistenti là fuori per sempre?

    
posta peterw 04.03.2013 - 16:54
fonte

3 risposte

13

"Privacy" ha avuto un significato diverso quando PGP ha ottenuto il suo nome. I server di chiavi e le implicazioni della pubblicazione dei nomi e dei metadati delle persone che hanno firmato le tue chiavi non erano un problema ben compreso a quei tempi, ma oggi è un problema di privacy piuttosto serio.

Poiché gli indirizzi e-mail cambiano, e "identità" può essere ragionevolmente legata al nome legale, alla data di nascita e alla città di residenza, ho una voce PGP lassù con un po 'troppe informazioni e firme da alcuni personaggi interessanti.

Un ragionevole studio delle date delle firme può essere usato per capire dove ero in quale data, con chi ho incontrato e con quali conferenze avrei potuto partecipare. Vorrei rimuovere le mie chiavi e giocare le mie carte un po 'più vicino al mio petto, ma non posso.

Per quanto ne so, non c'è modo di rimuovere le informazioni, anche se si dispone del certificato di revoca. Verranno archiviati con la revoca per indicare che la tua chiave è stata compromessa.

Sarei molto felice di sbagliarmi.

Lo svantaggio di avere chiavi non utilizzate in natura non è troppo serio. Può sembrare un po 'poco professionale, renderti più difficile da trovare su un server chiave e può portare a persone che ti inviano email che non puoi decifrare. A parte questo e le normali preoccupazioni sul tuo social network che perdono nella rete della fiducia, non ci sono problemi seri.

    
risposta data 04.03.2013 - 17:12
fonte
8

Ad un certo punto, ho trovato non meno di cinque coppie di chiavi pubblicate, con il mio indirizzo email. Non li ho creati, quindi devo supporre che sia stato fatto qualcun altro, per ragioni che mi sfuggono. Non sono eccessivamente interessato a queste chiavi.

La tua situazione è simile, tranne che dal momento che le chiavi erano davvero tue, sai che la chiave privata non è in Evil Hands. Ti suggerisco di smettere di preoccupartene.

In un mondo ideale , le persone che vogliono utilizzare la tua chiave pubblica per scriverti un'email prima convalidano la chiave pubblica che trovano nei server delle chiavi, utilizzando Web of Trust . Nel mondo reale , utilizzeranno la chiave che hai pubblicizzato sulla tua pagina Web o che ti hanno inviato in una precedente email. In ogni caso, le chiavi spurie sui server chiave saranno ignorate.

    
risposta data 04.03.2013 - 17:19
fonte
1

Come già detto, quelle chiavi esisteranno per sempre. Ho anche una vecchia chiave fastidiosa 1024D / FCFAC0B0 . Ho contrassegnato quella vecchia chiave come revocata firmandola con una nuova chiave creata per l'identità: 

"WARNING: Key was revoked! (Identity for revoking) <[email protected]>"

Inoltre l'ho anche firmato con la mia chiave attuale.

    
risposta data 15.12.2013 - 11:35
fonte

Leggi altre domande sui tag

Protezione dagli attacchi cookie cross-subdominio La banca accetta password diverse da quella impostata