Creazione di sottochiavi per una chiave OpenPGP esistente

3

Ho una chiave OpenPGP esistente che è stata usata raramente. Tutte le funzionalità sembrano essere associate alla chiave principale, non ci sono sottochiavi.

/home/user/.gnupg/pubring.gpg
------------------------------
sec   rsa4096 2014-06-02 [SCE] [expires: 2017-06-23]
  .. key details, no subkeys ..

Vorrei passare a una sottochiave per la firma e una sottochiave per la crittografia, come documentato da Debian . Ciò mi consentirà di utilizzare una smart card e di memorizzare la chiave principale offline.

Con lo sfondo seguente:

  • Non c'è alcuna indicazione che le chiavi siano state compromesse, voglio solo migliorare la sicurezza generale non avendo la chiave master sul mio PC.
  • Non ho usato la chiave per firmare nulla.
  • Non mi interessa se non riesco a decrittografare i vecchi dati.

Posso generare due sottochiavi, rimuovere le funzionalità di firma / crittografia dal master e continuare a utilizzare questa chiave? Oppure esiste una ragione convincente per generare una chiave completamente nuova con un'istruzione di transizione?

    
posta David 27.06.2016 - 17:46
fonte

1 risposta

2

Se sei (un po ') sicuro che la chiave non sia compromessa, creo semplicemente un gruppo di sottochiavi e muovi qualunque chiave tu voglia per le smartcard o altri luoghi offline. L'aggiunta di sottochiavi è facilmente possibile utilizzando gpg[2] --edit-key e i comandi addkey .

I flag di utilizzo sono memorizzati in un sottopacchetto di firma , quindi cambiarli non cambia il chiave (rispetto all'ID della chiave, che invaliderebbe tutte le certificazioni). Tuttavia, la modifica delle flag di utilizzo in GnuPG non è possibile (ma hackerando il codice ). Da un messaggio di Resul Cetin sul thread di quella mailing list:

Ok, it was quite easy to do (not clean, but it could be done in a fast and hackish way). Just searched for gnupg-1.4.9/g10/getkey.c:parse_key_usage and changed p to non-const and always set (*p) &=~2;. Afterwards I started my new compiled hackish-gpg --edit-key and set the expire of my master key. After this procedure I had only the Cert flag set. Thanks Christoph - you are my personal hero of the day :)

Personalmente, non mi interessa troppo il flag di utilizzo della chiave master. Se un utente malintenzionato si impossessa della chiave primaria, sarà comunque in grado di modificare i flag di utilizzo.

    
risposta data 27.06.2016 - 23:41
fonte

Leggi altre domande sui tag