È possibile avere una sottochiave di autenticazione RSA con una chiave master DSA?

Naviga le tue risposte
3

La mia configurazione dei tasti è la seguente: 

sec  dsa3072/CA72E53A
     created: 2013-05-12  expires: never       usage: SCA 
     trust: ultimate      validity: ultimate
The following key was revoked on 2016-01-13 by DSA key CA72E53A 
ssb  elg4096/ADBBBE42
     created: 2013-05-12  revoked: 2016-01-13  usage: E   
ssb  rsa4096/6A743003
     created: 2016-01-13  expires: 2018-01-12  usage: E   
ssb  rsa4096/A57F2B30
     created: 2016-01-13  expires: 2018-01-12  usage: S

Sto cercando di passare alle sottochiavi RSA perché voglio usare un Yubikey per le mie chiavi, ma ho iniziato con una chiave DSA / Elgamal.

Ma quando aggiungo nuove sottochiavi non ho la possibilità di aggiungere una chiave RSA (o DSA) con parametri personalizzati. È il risultato di avere una chiave master DSA? 

gpg> addkey 
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
Your selection?

Una soluzione che sto considerando è generare una nuova coppia di chiavi solo per scopi di autenticazione (RSA / RSA), non pubblicare la chiave pubblica e caricare quella chiave di autenticazione su yubikey, ma non so se sia supportata da Yubikey e se ha altri aspetti negativi.

È possibile avere una sottochiave di autenticazione RSA con una chiave master DSA o sto cercando di fare qualcosa di stupido e dovrei semplicemente mordere il proiettile e passare a una nuova chiave master RSA?

Sto usando GnuPG versione 2.1.9.

    
posta Jeroen 14.01.2016 - 10:20
fonte

1 risposta

2

Devi attivare la modalità --expert per selezionare combinazioni arbitrarie di algoritmi e funzionalità (all'interno di determinate limitazioni tecniche, le chiavi DSA non saranno mai in grado di avere capacità di firma). 

$ gpg --expert --edit-key [key-id]
[snip, key-listing]
gpg> addkey
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)

Your selection?

Inserisci 8 per creare una chiave RSA. 

Possible actions for a RSA key: Sign Encrypt Authenticate 
Current allowed actions: Sign Encrypt 

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection?

Ora, uno dopo l'altro, inserisci e , s e a per disabilitare la crittografia e la firma e abilitare le funzionalità di autenticazione. Infine seleziona la dimensione della chiave: 

RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)

Continua come al solito.

    
risposta data 14.01.2016 - 17:33
fonte

Leggi altre domande sui tag

Quanto è sicuro il single-signon GSSAPI su SSH? MDK3 problema di attacco di deautenticazione: ogni stazione viene disconnessa