Qual è la procedura consigliata per migrare a una nuova chiave master OpenPGP?

Naviga le tue risposte
3

Sto pensando di ricominciare con una nuova chiave principale. La mia attuale chiave master non è stata compromessa, ma l'ho memorizzata temporaneamente sul mio server privato, il che è contro le buone pratiche (ma sono l'unico che può accedere a questo server e la chiave è protetta con una passphrase molto strong).

Supponendo che voglio passare a una nuova chiave master , posso dire al mondo che voglio deprecare la mia vecchia chiave, ad es. "promuovendo" una sottochiave o firmando la mia nuova chiave master con la mia vecchia? O dovrei semplicemente revocare la mia vecchia chiave, crearne una nuova e iniziare a ricostruire la mia reputazione da zero?

    
posta user48678 21.02.2016 - 14:47
fonte

1 risposta

3

Non c'è modo di modificare la chiave primaria di OpenPGP senza perdere le certificazioni in entrata. quando ne crei una nuova e perderai la tua reputazione nella rete di fiducia.

Che cosa puoi fare per mantenerne il massimo:

  • Firma la nuova chiave con la vecchia , in modo che altri possano seguire le firme. Possono ancora fare (manualmente) quando hai revocato la tua vecchia chiave, almeno è un'indicazione su cosa stava succedendo se qualcuno ci teneva davvero.
  • Invio di una istruzione di transizione chiave a coloro che hanno firmato la tua vecchia chiave ; alcuni di essi potrebbero anche firmare il tuo nuovo.
  • Ottenere la nuova chiave autografata, es. vai a parti della firma delle chiavi .
  • Non revocare immediatamente la vecchia chiave, ma solo dopo un po 'di tempo in cui hai già ricevuto un sacco di nuove certificazioni.

Dato che non ti aspetti che la tua chiave sia compromessa, potresti anche considerare di guardarla (cosa che dovresti fare comunque). Soprattutto se la tua chiave primaria ha solo la capacità di certificazione, non si può fare molto danno "invisibile" - nessun messaggio è crittografato per questa chiave, non possono essere emesse firme su documenti e messaggi.

    
risposta data 21.02.2016 - 16:51
fonte

Leggi altre domande sui tag

E 'conforme PCI per annotare le informazioni della carta di credito su carta e conservarlo in scatole non presidiate? Come può funzionare uno schema di autenticazione Web basato su PIN?