chiave master GPG senza indirizzo email

6

Vorrei creare una nuova chiave GPG. Passando attraverso un paio di thread sembra che lo schema più popolare per la massima sicurezza sia quello di avere una chiave master (di sola firma) fuori sito che fornisce una shell per un paio di sottochiavi di uso quotidiano.

Dato che la chiave master potrebbe probabilmente servire una vita intera, stavo pensando di inserire solo il mio vero nome in esso senza alcun indirizzo e-mail, dato che probabilmente cambieranno nel corso degli anni e nessuno invierà una e-mail alla chiave principale come bene. È una buona pratica, dovrei inserire un commento come (chiave di firma principale) o il mio compleanno / luogo di nascita in esso? Cosa consiglieresti?

    
posta user46023 05.05.2014 - 11:40
fonte

1 risposta

5

La tua chiave primaria (che è l'espressione OpenPGP per quella che hai chiamato la chiave "master") è l'entità a cui sono associate tutte le altre sottochiavi e gli ID utente.

Avere una chiave primaria offline

Going through a couple of thread it seems like the most popular scheme for maximum security is to have an offsite master (sign-only) key which provides a shell for a couple of daily-use subkeys.

La memorizzazione offline può essere ragionevole per aumentarne la sicurezza, poiché le probabilità di ottenerlo nel caso in cui il computer venga danneggiato vengono ridotte; dovrebbe essere sul tuo computer al momento corrotto. Ho pubblicato alcuni più elaborazione sulle chiavi offline in un'altra risposta .

Torna alle tue domande:

ID utente principale senza indirizzo di posta

I was thinking about putting only my real name into it without any email address as they possibly will change anyway over the years as well as nobody shall send an email to the master key as well.

Questo è preferito da alcuni utenti di OpenPGP, poiché disaccoppia la persona (tu) da qualcosa che possiedi (il tuo indirizzo di posta). Gli indirizzi di posta tendono a cambiare nel tempo, ma molto probabilmente rimarrai la stessa persona con lo stesso nome per un lungo periodo di tempo (le modifiche al nome, probabilmente attraverso i matrimoni, sono piuttosto infrequenti).

Come già accennato in precedenza, la tua chiave primaria in realtà mai avrà un ID utente (indirizzo di posta elettronica) incluso. Invece, di solito verrà stampato l' ID utente principale .

Questo di solito è il primo creato, ma può anche essere modificato ogni volta che lo si desidera - anche per le chiavi esistenti con un ID utente principale contenente un indirizzo di posta. Per farlo, esegui gpg --edit-key [key-id] . list degli ID utente e seleziona quello che vuoi rendere primario, digitandone il numero. Il prossimo list stamperà una stella accanto all'ID utente. primary creerà l'ID utente principale.

Ulteriori dettagli nell'ID utente principale

Is this a good practice, should i put a comment like (master signing key) or my birthday/birthplace in it?

Ci sono pro e contro a questo. Il tuo luogo e la data di nascita, insieme al tuo nome, sono in genere sufficienti a identificarti in modo univoco - a seconda di quanto comuni sono il tuo nome e cognome, potrebbero esserci altre persone con lo stesso nome, ma molto probabilmente non lo stesso luogo e data di nascita. D'altra parte, questi potrebbero essere sufficienti per abusare della tua identità e, a seconda della tua società, potrebbero essere considerati dettagli molto intimi della tua vita. Ricorda che non sarai in grado di ripristinare tutto ciò che ha trovato la sua strada sui server delle chiavi! Ma pensa anche a ciò che hai ma nei tuoi profili web sociali. Se sei elencato su alcuni siti web di find-my-classmates, la tua età è elencata su Stack Overflow ei tuoi amici postano congratulazioni di compleanno su Facebook, questi dettagli non sono più privati in ogni caso.

What would you recommend?

La mia chiave principale non è in linea e ha un ID utente principale che contiene nome, luogo alla data di nascita.

    
risposta data 05.05.2014 - 12:30
fonte

Leggi altre domande sui tag