Genera sottochiavi basate su chiave primaria OpenPGP meno sicura

4

Ho letto dei vantaggi dell'utilizzo delle sottochiavi OpenPGP per macchine diverse. Ovviamente, è una pratica molto più sicura rispetto alla copia della stessa chiave master tra più macchine (in particolare computer portatili).

Sto pianificando di migrare verso il modo "una sottocasella per macchina" per gestire le chiavi OpenPGP come descritto qui: link

Le istruzioni sono abbastanza chiare se stai configurando la firma OpenPGP da zero . Tuttavia, ho utilizzato una chiave rsa2048 ( DB746BD8 ) per diversi anni e, idealmente, mi piacerebbe mantenere la fiducia e l'identità ad essa associate. Ci sono delle guide (recenti) sulle migliori pratiche che spiegano una situazione come questa? Ad esempio, ha senso (vale a dire aggiunge sicurezza) per generare sottochiavi da 4096 bit utilizzando una chiave master rsa2048? Sarebbe meglio generare una nuova chiave primaria rsa4096? O qualcosa di completamente diverso?

Modifica

Alcune informazioni aggiuntive sulla mia particolare chiave / situazione:

  • La chiave è stata utilizzata principalmente per la firma di commit Git - Non credo sia mai stata utilizzata per la crittografia, né caricata su un server delle chiavi.
  • L'unica volta in cui è stato "pubblicato" è stato quando è stato caricato sul sito Web GitHub, come descritto qui .
  • La chiave non è stata certificata / firmata da nessuno.

Il mio obiettivo è capire l'impostazione PGP / GPG per a medio-lungo termine , e finora il piano è simile a questo:

  1. Scegli la chiave primaria da utilizzare
    1. Mantieni la chiave primaria esistente di rsa2048 DB746BD8
    2. Genera una nuova chiave primaria (ad es. rsa4096, ecdsa)
  2. Genera e distribuisce nuove sottochiavi
  3. Carica la chiave per i server delle chiavi
  4. Utilizzalo potenzialmente per la crittografia, per firmare le chiavi di altre persone, ecc.

La domanda principale è se dovrei andare con 1.1. o 1.2. - soprattutto considerando che dopo aver seguito 2. 3. e 4., potrebbe diventare più difficile passare in seguito a una nuova chiave (?).

    
posta friederbluemle 15.09.2017 - 18:29
fonte

1 risposta

1

Devi distinguere tra la sicurezza dell'intera chiave OpenPGP (dipende dalla tua chiave primaria) e la sicurezza del messaggio crittografato / firmato (dipende principalmente dalla sottochiave, ma vedi sotto).

Chiave primaria

Ovviamente la chiave primaria non è rafforzata: tutte le operazioni chiave primarie ( rilascio di certificazioni su altre chiavi, gestione degli ID utente, gestione delle sottochiavi, emissione di certificati di revoca ) sono associate alla chiave primaria. Se un utente malintenzionato ottiene la chiave primaria (ad esempio, con attacchi a forza bruta che potrebbero essere fattibili in futuro), sarà in grado di eseguire tutte queste attività. Inoltre, la chiave primaria ha spesso impostato il bit di capacità di firma, pertanto può anche emettere certificazioni valide (infatti, questa impostazione predefinita è se crei coppie di chiavi in GnuPG).

Accesso

Le sottochiavi vengono utilizzate per il "lavoro quotidiano": firma e crittografia dei documenti. Per le firme , un utente malintenzionato può facilmente creare una nuova coppia di sottochiavi (e automaticamente attendibile) quando ottiene la chiave primaria, quindi non c'è un uso effettivo nella creazione di una sottochiave più strong (ovviamente, si potrebbe controlla manualmente quale chiave di firma è stata utilizzata, ma questa non è sicuramente la migliore pratica e lo standard OpenPGP.

crittografia

Per le chiavi di crittografia, la situazione è diversa: una volta crittografato un messaggio per una sottochiave, la creazione di nuove sottochiavi di crittografia non è utile. Con altre parole: un utente malintenzionato non sarà in grado di decifrare i messaggi vecchi crittografati prima di ottenere la chiave primaria segreta. Non appena avrà accesso ad esso, sarà in grado di emettere una nuova chiave di crittografia e intercettare i messaggi. Le implementazioni di OpenPGP utilizzano la più recente sottochiave valida in grado di crittografare. Infatti, non potrai più leggere quei messaggi (dato che non hai accesso alla nuova chiave segreta).

Ma in entrambi i casi (sottochiavi di firma e crittografia), almeno in grado è possibile rendersi conto che qualcosa non va, poiché l'attaccante dovrà distribuire le nuove sottochiavi. Ma non realizzerai un attacco prima che il danno possa essere già avvenuto.

Riepilogo

C'è un po 'di uso, e siccome creare una nuova coppia di sottochiavi è un compito facile e poco costoso, perché non farlo semplicemente. Ma per una soluzione a lungo termine, prendi in considerazione la disattivazione della vecchia chiave e passando a una nuova coppia di chiavi . Forse anche prendere in considerazione nuove chiavi ECDSA già?

    
risposta data 16.09.2017 - 10:40
fonte