La chiave segreta master GPG può essere archiviata come di sola lettura?

2

Una volta generata la chiave PGP principale, i "dati" nella chiave privata cambieranno mai?

Ad esempio, se aggiungi un'altra chiave secondaria, uid o altri dati alla chiave principale, queste modifiche devono essere "scritte" sulla "metà segreta della chiave", modificandola in qualche modo? Oppure tutte le modifiche sono apportate alla "metà pubblica della chiave" o anche una sorta di terzo file firmato con i dettagli?

Cioè, puoi memorizzare la chiave segreta su un supporto di sola lettura come un CD-ROM, stampato su carta o tatuato sulla testa rasata di uno dei tuoi servi?

    
posta IQAndreas 02.09.2014 - 16:50
fonte

2 risposte

1

Le chiavi non memorizzano i dati, crittografano i dati. I dati che crittografa cambieranno, ma la chiave stessa non può cambiare o non saresti in grado di accedere ai tuoi key-ring precedentemente crittografati.

Ora puoi ricondurre le cose a una nuova chiave decodificando l'intero key-ring e ricodificando con una nuova chiave privata, ma ciò avverrebbe solo se la tua chiave fosse compromessa (a quel punto dovresti davvero sostituire anche tutte le tue chiavi sul tuo anello.)

    
risposta data 02.09.2014 - 17:44
fonte
1

Una "chiave segreta" di OpenPGP è in realtà costituita da un sacco di diversi pacchetti OpenPGP. Ad esempio, includerà le chiavi pubbliche e private, che alla fine sono solo numeri con qualche intestazione aggiunta che indica che si tratta di un pacchetto di chiavi pubblico / privato e di quale protocollo è in uso.

Tutto il resto è memorizzato in altri pacchetti OpenPGP, ad esempio:

  • ID utente
  • le sottochiavi
  • le firme vengono utilizzate per un sacco di usi:
    • associa gli ID utente e le sottochiavi alla chiave primaria
    • configurazione degli algoritmi preferiti, ...
    • impostazione delle date di scadenza
    • certificazioni ricevute da altre chiavi

Quindi ogni cosa veramente importante è la chiave privata primaria. Finché hai questo, puoi revocare tutte le (sotto) chiavi ed eseguire modifiche arbitrarie alla tua chiave in qualsiasi momento.

Poiché anche questa chiave privata primaria non cambierà mai, puoi facilmente memorizzare una copia di sola lettura. Se devi caricarlo (di nuovo), recupera tutto il resto (tutto ciò che è pubblico) da un server delle chiavi e GnuPG lo unirà. L'unica cosa mancante sarebbe le sottochiavi segrete non incluse nell'esportazione offline, quindi dovresti scambiarle.

    
risposta data 02.09.2014 - 20:30
fonte

Leggi altre domande sui tag