(Come) dovrei ri-firmare le chiavi dopo aver effettuato il passaggio a una nuova chiave?

Naviga le tue risposte
4

Recentemente ho passato a una nuova chiave OpenPGP , non perché il mio vecchio è stato compromesso, ma perché le migliori pratiche attuali richiedono una lunghezza della chiave più lunga. Ho firmato la mia vecchia chiave con la mia nuova chiave, che va in qualche modo a preservare il mio posto nel già esistente Web of Trust.

Ci sono vantaggi o svantaggi nell'usare la nuova chiave per ri-firmare le chiavi di terze parti che avevo precedentemente firmato con la vecchia chiave? Queste chiavi di terze parti sono ancora raggiungibili dalla mia nella Web of Trust, in virtù del fatto che ho firmato la mia vecchia chiave con la mia nuova chiave, ma non la re-signing renderle leggermente più raggiungibili da altri, diminuendo la lunghezza complessiva del percorso?

Se eseguo nuovamente la firma dei tasti, è importante verificare manualmente le impronte digitali di nuovo, nel caso in cui la chiave sia stata smarrita o compromessa? Oppure è accettabile ri-firmare per impostazione predefinita?

    
posta Psychonaut 23.08.2016 - 14:30
fonte

1 risposta

1

Are there any advantages or disadvantages to using the new key to re-sign the third-party keys I previously signed with the old key? These third-party keys are still reachable from mine in the Web of Trust, by virtue of my having signed my old key with my new key, but wouldn't re-signing them make them slightly more reachable by others, by decreasing the overall path length?

Se revochi la vecchia chiave (dopo un po 'di tempo), perderai molte connessioni nella rete di fiducia se non firmi di nuovo altre chiavi.

Se vuoi ricominciare o meno, dipende dalla tua politica. Non c'è nessuna regola su questo, le specifiche OpenPGP non menzionano nemmeno regole specifiche sull'emissione di certificazioni.

If I do re-sign the keys, is it important to manually verify the fingerprints all over again, just in case the key has been lost or compromised? Or is it acceptable to re-sign by default?

Guardando le impronte digitali, non sarai in grado di decidere se una chiave è stata persa o compromessa: dovresti contattare nuovamente il portachiavi. Se vuoi fare questo ulteriore sforzo dipende da te. GnuPG si asterrà comunque dal firmare le chiavi revocate (assicurati di aggiornarle prima di firmare). D'altra parte, emettere una nuova certificazione potrebbe essere considerata una nuova affermazione "Sono sicuro dell'identità del keyholder" ed è connessa a un timestamp: sei ancora sicuro di come hai verificato l'identità, quali user ID hai selezionato per la firma ( puoi vedere questo) e perché (questo diventerà più difficile)?

Non mi interesserebbe controllare le impronte digitali, ma invece usare le impronte digitali per fare riferimento alle chiavi degli altri direttamente. Tale elenco può essere derivato da uno script semplice e può essere utilizzato direttamente per firmare le chiavi, caff potrebbe fornire un'interfaccia più semplice per questo.

Personalmente, mi interesserebbe solo firmare persone che conosco bene e che mi interessano.

    
risposta data 26.08.2016 - 20:47
fonte

Leggi altre domande sui tag

Ci sono casi in cui AES CBC + HMAC è preferito rispetto alla modalità AES GCM? Il flash di filtraggio è basato sul mimetype sufficiente per tenerlo fuori?