Esecuzione di una chiave GNUPG2 offline - dovrei fare solo Master-key S & E o S?

Question

Esecuzione di una chiave GNUPG2 offline - dovrei fare solo Master-key S & E o S?

#1 da (2 voti)

1

Voglio creare una chiave offline in GNUPG2 , ad es. una "chiave master" a cui aggiungerò uno o più sottochiavi per l'uso quotidiano, prima di archiviare l'intero oggetto su una USB. Quindi rimuoverò la parte segreta del Master, avendo così una chiave molto limitata sul mio computer - pur essendo ancora in grado di usare i sottochiavi.

1) È meglio (più sicuro ... meno confuso ...) solo per rendere il segno (e la certificazione) della chiave principale - es. usando "RSA (solo firma)" ... o devo / devo fare sia Sign (e Certifica) che Encrypt - es. RSA e RSA? Sign & C: solo più sicuro o non importa?

2) Aggiungerò definitivamente una sottochiave di crittografia - ma dovrei / devo aggiungere anche una sottochiave Sign? ... O potrei semplicemente usare la chiave master (completa!) Anche quella del segnale? (Sarebbe un problema forse, ma lascia che firmi molto raramente i miei file / mail ...)

gnupg

posta Baard Kopperud 10.11.2018 - 04:03

fonte

1 risposta

Leggi altre domande sui tag gnupg

Perché "keytool.exe" con "-certreq" arg richiede un alias? Un computer sulla rete pubblica che stavo usando è penetrato in un codejam. Sono a rischio?

score 2 · Accepted Answer

Is it better (safer... less confusing...) to make the Master-key Sign (and Certify) only - eg. by using "RSA (sign only)"... or must/should I make it both Sign (and Certify) and Encrypt - eg. RSA and RSA ? Is Sign&C-Only more secure or doesn't it matter?

Devi solo creare una chiave di firma principale. Lo scopo della chiave di firma principale non è altro che firmare altri keypair che usi come sottochiavi. Per questo motivo, non è necessario crittografare con la chiave master. Per quanto riguarda la sicurezza, non importa se crei una chiave di crittografia master perché non la userai mai, ma è inutile e di tipo sciatto.

I'll definitively add an Encryption sub-key - but should/must I add a Sign sub-key too? ...Or could I just use the (full!) Master-key too sign stuff? (It would be a bother perhaps, but lets say I very rarely signed my files/mails...)

Devi fare aggiungere anche una sottochiave per la firma, non solo una per la crittografia! Lo scopo di mantenere offline una chiave master è di evitare di usarlo eccessivamente in situazioni in cui potrebbe essere rubato. La firma di tutto con la chiave di firma principale vanifica completamente lo scopo di mantenerla offline, anche se si firmano le cose solo raramente. L'ora solo che dovresti mai usare (o persino accedere) alla tua chiave principale è quando stai generando nuove sottochiavi e devi firmarle. Pertanto, è necessario generare una coppia di chiavi con crittografia e firma delle sottochiavi e firmare utilizzando la chiave master.

Tieni presente che esistono delle smart card sicure che puoi memorizzare la tua chiave master in un formato crittografato e firmare le sottochiavi senza che tu debba mai inserire la chiave segreta sul tuo computer, semplicemente collegando il dispositivo. Ti suggerisco di esaminare uno di questi per aiutarti a gestire le tue chiavi.