Qual è il modo migliore per organizzare le chiavi di OpenPGP?

Naviga le tue risposte
3

Ho sempre usato OpenPGP come singola coppia privata / pubblica di chiavi per (S) igning e (E) ncryption.

Ma imparando a conoscere le sottochiavi di OpenPGP, si raccomanda di usare chiavi separate per la (C) ertificazione, (S) igning e (E) ncryption. Come ho capito, la chiave di certificazione viene utilizzata solo per creare nuove sottochiavi. Quindi qual è il modo migliore per utilizzare la chiave principale e le sottochiavi? Perché non posso usare la chiave principale per (C), (S), (E) e perché è consigliabile usare chiavi separate per (S) ed (E)?

    
posta 0928e8f6 06.02.2016 - 09:24
fonte

2 risposte

2

Uno dei modi più sicuri e pratici per organizzare le chiavi PGP è utilizzare la Sottochiave con chiave master offline .

In sostanza, con le sottochiavi è possibile memorizzare la chiave di certificazione Master / (C) in un'archiviazione offline sicura e crittografata; e la tua workstation giornaliera ha solo la chiave (S) igning e (E) ncryption. Prendi la tua (C) chiave solo quando devi firmare o revocare la tua chiave o quella di qualcun altro, cosa che di solito accade molto meno spesso della normale firma e crittografia.

Il motivo per cui si consiglia di usare un tasto separato (S) ed (E) è perché molte persone usano più dispositivi e puoi avere solo una (E) chiave in tutti i tuoi dispositivi se vuoi essere in grado di leggere tutto i tuoi dati crittografati da uno qualsiasi dei tuoi dispositivi, ma puoi utilizzare più chiavi (S), una per ciascun dispositivo e tutti i tuoi dispositivi possono ancora verificare le firme perché c'è una catena di fiducia per la tua chiave master.

Inoltre, puoi inserire scadenze più brevi nelle tue sottochiavi. La chiave master non è efficace, in quanto è sempre possibile estendere la scadenza di una chiave master.

Tieni presente che la versione più recente di GPG crea sottochiavi per impostazione predefinita.

    
risposta data 06.02.2016 - 09:31
fonte
0

Generalmente, tutte le chiavi primarie di OpenPGP hanno la capacità di certificazione C . Non puoi averne uno senza, è necessario certificare (firmare) la chiave di altri, eseguire operazioni di gestione delle chiavi come la creazione e la revoca di sottochiavi e ID utente.

Revocare la chiave primaria significa che devi scambiare le chiavi di nuovo con i tuoi partner di comunicazione, perdere tutta la reputazione nella rete di fiducia, ... Si consiglia di non utilizzare la chiave primaria per attività "giornaliere" come la crittografia E , firma S e autenticazione A . Aggiungere una coppia di sottochiavi è economico e facile, richiede solo pochi secondi e requisiti di archiviazione trascurabili.

Raramente hai bisogno di utilizzare le funzioni di certificazione, ecco perché alcune persone spostano quelle chiavi in una posizione offline: una pen drive, un altro (vecchio) computer dedicato a questo scopo, le smart card OpenPGP.

Per concludere l'installazione della chiave consigliata è qualcosa di simile a

  • chiave primaria, capacità C (potresti voler mantenerla offline)
    • sottochiave di crittografia, capablity E
    • firma sottochiave, capacità S (alcune persone utilizzano sottochiavi di firma aggiuntive per computer diversi)
    • sottochiave di autenticazione, capacità A (ma probabilmente non ti servirà e non la userò)

(con ovviamente ognuno di quelli che formano una coppia di chiavi pubblica / privata).

    
risposta data 06.02.2016 - 09:48
fonte

Leggi altre domande sui tag

Perché la vulnerabilità di POODLE ha per ogni byte una probabilità di 1/256 di ottenerla in testo normale? I generatori di password sono sicuri?