Ho copiato la mia cartella .gnupg da Mac OS X e ora Seahorse mi consente di firmare la mia chiave. È normale?

Question

Ho copiato la mia cartella .gnupg da Mac OS X e ora Seahorse mi consente di firmare la mia chiave. È normale?

#1 da (3 voti)

1

Ho una configurazione dual-boot con Mac OS X Mountain Lion e Debian GNU / Linux Sid (completamente aggiornato).

Ho installato gpg in OS X eseguendo brew install gpg . Ho quindi generato una coppia di chiavi da usare per me.

I pacchetti gnupg (e gnupg2 , anche se questo non è il predefinito gpg ) e seahorse sono stati installati durante l'installazione di Debian.

Quando apro Seahorse, ottengo una finestra con un elemento che dice il mio nome, la mia email e "Personal PGP Key". Quando faccio doppio clic su di esso e ottengo una vista dettagli che dice "Chiave PGP privata", l'ID della chiave, la mia email e il mio nome.

Ecco la mia domanda: quando faccio clic sulla scheda Nomi e firme nella finestra dei dettagli chiave, mi viene assegnato un elemento nell'elenco: la mia chiave. Tuttavia, quando clicco sulla chiave, il pulsante per firmare la chiave è abilitato. Questo comportamento normale? Se lo è, quale sarebbe l'uso per firmare la tua chiave?

gnupg

posta strugee 29.07.2013 - 08:36

fonte

1 risposta

Leggi altre domande sui tag gnupg

Nome del sistema di sicurezza Quanto tempo impiegherebbe per forzare la crittografia AES?

score 3 · Accepted Answer

Se generi una coppia di chiavi PGP pubblica / privata e pubblichi la metà pubblica senza firmarla con la metà privata, ti lasci vulnerabile a un attacco denial of service. Dopo aver inviato la tua chiave pubblica a un server PGP, può essere modificata da un utente malintenzionato e ridistribuita.

L'attacco procede in questo modo: l'utente malintenzionato riceve la chiave dal server PGP, modifica l'ID utente (e-mail) mentre l'impronta digitale della chiave rimane invariata, quindi la chiave sembrerà ancora autentica. Quindi ridistribuiscono la chiave il più ampiamente possibile, magari attraverso un altro database PGP.

Chi non conosce già la tua email e deve fare affidamento sul database PGP pubblico per trovarlo, invierà messaggi a questo nuovo ID e non riceverai mai la posta. Tuttavia, l'utente malintenzionato non sarà in grado di decrittografarli senza ottenere la chiave privata, quindi è solo un DoS e uno che non è molto efficace. Al giorno d'oggi pochissime persone usano i server PGP come rubriche.

Ancora è una possibilità e una che è ben nota e facilmente sconfitta. Infine ricordo che la maggior parte delle applicazioni PGP firmano la loro chiave pubblica quando la coppia viene creata di default ma è passato molto tempo da quando ho creato una nuova chiave.

C'è una bella recensione su questo qui: link