Usando solo le chiavi GPG di scadenza di un giorno ... eventuali svantaggi?

Naviga le tue risposte
2

Dalla discussione la scadenza della chiave OpenPGP viene aggiunta alla sicurezza? , sappiamo che più velocemente scadono le chiavi, maggiore è la nostra sicurezza. La scadenza minima per una chiave GPG sembra essere di 1 giorno. Quindi, non è molto più sicuro generare una nuova chiave GPG (che scade in 1 giorno) una volta al giorno?

Ciò significa che generiamo una nuova chiave GPG ogni volta che vogliamo firmare un documento e riutilizziamo la chiave per un massimo di 24 ore prima di generarne una nuova.

Tuttavia, questa pratica non sembra essere diffusa. Vedo molte persone che utilizzano lo stesso stesso per mesi o addirittura un intero anno prima di crearne uno nuovo.

Quale potrebbe essere lo svantaggio di utilizzare solo le chiavi GPG di scadenza di 1 giorno?

    
posta Pacerier 11.02.2014 - 06:28
fonte

2 risposte

4

What may be the disadvantage of only using 1-day expiration GPG keys?

Anche un controllo minimo di una nuova chiave GPG in ambienti professionali / sensibili / regolati dovrebbe comportare qualcosa di simile a una telefonata al numero di telefono noto dell'altra parte e controllare l'impronta digitale della chiave contro ciò che hanno per l'impronta digitale.

Se ho un processo di file giornaliero, per ogni chiave che ottengo (1 al giorno per cliente / fornitore / processo / ecc.) ciò richiede

  • ottenere la tua chiave giornaliera
  • importazione della tua chiave giornaliera nel mio portachiavi
  • convalida l'impronta digitale della tua chiave quotidiana per ridurre le probabilità che si tratti di un impostore
  • avendo il mio processo automatizzato estratto la tua ultima chiave (NON qualcosa che qualcuno di cui sono a conoscenza al momento fa)
  • evitando collisioni con identificatori di chiavi man mano che il mio portachiavi cresce
  • sfoltire regolarmente il mio portachiavi per eliminare migliaia di chiavi scadute nel corso degli anni

Inoltre, immagino di avere solo 100 processi di file automatici, e se sono tutti (affari) ogni giorno, sono oltre 26.000 chiavi all'anno! The Birthday Paradox inizierà a crescere a testa bassa per brevi collisioni di keyid, senza contare il tempo speso a fare tutto quanto sopra di manutenzione ... e il debugging degli inevitabili problemi.

La gestione delle chiavi è già abbastanza dolorosa: cento nuove chiavi al giorno? Io non la penso così Preferirei gestire solo 100 passphrase al giorno per la crittografia simmetrica di 100 nuove chiavi GPG al giorno - è uno sforzo complessivo minore.

Su una nota umana, non voglio neppure pensare al nome descrittivo e alle collisioni degli indirizzi email, dato quanto è difficile convincere la maggior parte delle aziende a usare uno SHA-256 o una migliore auto-firma, o persino un buon codice e le preferenze di hash.

    
risposta data 11.02.2014 - 08:14
fonte
2

Questa è una pessima idea fin dal primo momento. Immagino che tu non abbia mai avuto a che fare con la gestione delle chiavi e il suo P.I.T.A. i problemi. La risposta corretta qui è: ha così tanti svantaggi che sono difficili da enumerare, essendo il più importante "impedire agli utenti di lavorare". Aggiungerò solo alcuni punti alla risposta Anti-weakpasswords:

  1. Il tuo primo paragrafo è completamente falso. La sicurezza di una chiave non aumenta man mano che si abbrevia la data di scadenza.
  2. È una cosa pazzesca che nessun esperto di sicurezza ti incoraggerà a fare. Man mano che il database dei documenti cresce, gli utenti dovranno usare sempre più chiavi e passeranno il loro tempo in questioni di gestione chiave e non nelle loro reali attività.
  3. Non è esteso perché è una sciocchezza, è il tipo di sicurezza che rende un'impresa odiare il ragazzo della sicurezza.
risposta data 11.02.2014 - 08:32
fonte

Leggi altre domande sui tag

Malware che ottiene l'accesso come root tramite "sudo" e "sudo -s" Accesso come amministratore in Windows 7, c'è un lato negativo?