utilizzo della chiave per la chiave master gnupg offline

1

Ho letto alcuni articoli sull'utilizzo di una chiave master offline per gnupg e sono confuso sull'uso della chiave. Sembra che ogni articolo abbia un'opinione diversa a riguardo. Ho visto i seguenti utilizzi sulla chiave principale:

  • C: certifica solo
  • S: solo firma
  • CS: certificazione e firma solo

Qual è l'uso corretto della chiave principale in questi giorni? Ho una sottochiave diversa per la firma, la crittografia e l'autenticazione.

Al momento, ho solo specificato (C) erificare sulla mia chiave master offline, ma voglio essere sicuro che questo sia sufficiente e non incontrerò sorprese quando una delle mie sottochiavi scadrà (e ho bisogno di estenderle ).

    
posta Jeroen Jacobs 13.07.2018 - 22:03
fonte

2 risposte

2

Il "master" è la chiave che può certificare altre sottochiavi, quindi l'unico utilizzo rilevante per la tua chiave master è (C). Quando GnuPG crea un nuovo set di chiavi, il comportamento predefinito consiste nel creare una chiave master che può anche fungere da chiave di firma, quindi le assegna (CS) capacità, motivo per cui si vede spesso questa combinazione. Tuttavia, solo la capacità (C) è pertinente per il tuo master offline.

In altre parole, quello che hai è corretta .

    
risposta data 14.07.2018 - 00:21
fonte
0

Dalla mia comprensione delle infrastrutture a chiave pubblica (PKI) una "autorità di certificazione radice" deve essere autofirmata e in grado di firmare altri certificati sotto di sé. Analogamente, anche la chiave principale offline descritta avrebbe bisogno degli stessi privilegi.

  1. Certifica (C) - la chiave primaria "chiave principale" DEVE essere una chiave capace di certificazione (quindi per sottochiave).
  2. Signing (S) - sarà richiesto per la "chiave master" per crittografare i dati (o le chiavi) con la sua chiave privata.

Da quello che ho derivato su CS sarà necessario che la chiave master funzioni in una capacità di una chiave master offline (PKI). Tuttavia, ulteriori letture mi hanno portato a un articolo di GnuPG Sottoscrizione della certificazione di sottochiave di firma . Il che delinea la "chiave master" non si auto-firma (come la nostra PKI), il che crea un punto debole "la sottochiave della firma non firma il primario per mostrare che è di proprietà del primario. Ciò consente a un utente malintenzionato di firmare sottochiave e collegarlo alla propria chiave ". Questo è ulteriormente discusso " GPG perché la mia chiave di fiducia non è certificata con una firma attendibile? "

Vedi anche " Quali azioni certifica la capacità di GnuPG permesso " e " Anatomia di un tasto GPG "

Che delinea: "Certificazione contro firma - 'Firma' è un'azione contro dati arbitrari. 'Certificazione' è la firma di un'altra chiave.I ironia della sorte, l'atto di certificare una chiave è universalmente chiamato" key signing ". la contraddizione. "

Quindi, ti consiglio CS per il tuo utilizzo.

    
risposta data 14.07.2018 - 00:24
fonte

Leggi altre domande sui tag