È tipico creare coppie di chiavi x509 e OpenPGP?

Question

È tipico creare coppie di chiavi x509 e OpenPGP?

#1 da (6 voti)

5

Sto cercando di aumentare il mio uso di "cose" firmate e crittografate - Documenti LibreOffice, chat off-the-record, PDF, email, ecc. Sto scoprendo che alcune cose supportano solo i certificati in formato x509, e altri supportano solo i certificati di formato OpenPGP.

Mi piace anche che OpenPGP non dipenda dalla CA, e non mi piace che il modello di CA sia vulnerabile alle interferenze del governo. Tuttavia, il modello di CA è conveniente in determinati casi d'uso (ad esempio invio di un PDF firmato a un accademico vecchio e avvizzito che non sa nulla sulla crittografia).

Ho pensato di creare un Frankensteinian x509 / OpenPGP hybrid dalla stessa coppia di chiavi, ma non sono sicuro che ne valga la pena.

Quindi penso che la domanda sia: È consigliabile possedere e mantenere due coppie di chiavi: una in formato x.509 e l'altra in OpenPGP?

public-key-infrastructure pgp x.509 web-of-trust

posta scuzzy-delta 18.12.2013 - 23:30

fonte

1 risposta

Leggi altre domande sui tag public-key-infrastructure pgp x.509 web-of-trust

Linux Kernel ROP - Ritornare in userland dal contesto del kernel? Guardando per applicazioni come WireShark e altre gronde che cadono sulla rete aziendale

score 6 · Accepted Answer

Per tutti gli scopi pratici, i certificati X.509 e le coppie di chiavi OpenPGP vivono in mondi separati. È necessario un certificato X.509 per interagire con persone / sistemi che usano certificati X.509. Hai bisogno di una coppia di chiavi OpenPGP per scambiare email sicure con persone che usano OpenPGP. Se vuoi fare entrambe le cose, ti servono entrambe.

Un'idea chiave è che tali tasti non hanno senso . In un modo. Un certificato X.509 o una chiave pubblica OpenPGP firmata (stesso concetto), associa una chiave pubblica a un'identità . Qual è la tua identità? Se lo guardi da vicino, scoprirai che ne hai diversi. Legalmente, sei un cittadino (o soggetto) di qualche paese, e uno dei monopoli dei governi centrali è quello di definire le identità delle persone che sono sotto la sua portata nominale. Ma quel governo non è colui che rilascia il tuo certificato X.509, per non parlare di firmare la tua chiave OpenPGP. Inoltre, dubito strongmente che il tuo documento d'identità ufficiale / passaporto / patente di guida / qualunque sia il nome "scuzzy-delta".

In effetti, con Web of Trust di OpenPGP, la tua identità è guidata dalla comunità : hai come nome qualsiasi valore che le altre persone hanno trovato convincente. Dipende dalla comunità, e tu potresti perfettamente avere molte di queste identità (molte persone hanno un "indirizzo email personale" e un "indirizzo email aziendale"). Per quanto riguarda i certificati X.509, la tua identità è guidata dalla procedura : è qualunque cosa viene implicitamente verificata dal processo mediante il quale la CA "accerta la tua identità" (alcuni CA, per alcuni certificati, controllano solo che controlli un indirizzo email).

In queste condizioni, ha poco senso mantenere "genericamente" un certificato X.509 e / o una coppia di chiavi OpenPGP. Dovresti avere le chiavi per uno scopo . Ad esempio, potresti desiderare una coppia di chiavi OpenPGP in modo che le persone possano scambiare messaggi di posta elettronica crittografati con la tua persona "scuzy-delta" . O un certificato X.509 con il nome e l'indirizzo che accetteresti di mostrare ai vecchi accademici avvizziti (o, per quella materia, a tua madre). O forse un certificato il cui scopo è quello di autenticare le tue connessioni con alcune VPN.