Chiave master OpenPGP con funzionalità di certificato e autenticazione (su una smart card)

1

Dopo una ricerca su OpenPGP e smartcard, sono arrivato a un dilemma. Il solito setup che ho visto più diffusamente è una master key (con capacità SC) e 3 sottochiavi (con S, E, A ciascuna):

pub  4096R/0E427716  created: 2016-01-15  expires: never       usage: SC
                               trust: ultimate      validity: ultimate
sub  2048R/49C9CBD7  created: 2016-01-15  expires: 2016-10-12  usage: S
sub  2048R/A7D84FFD  created: 2016-01-15  expires: 2016-10-12  usage: E
sub  2048R/879F1ED3  created: 2016-01-15  expires: 2016-10-12  usage: A

Comprendo il concetto di mantenere la chiave principale solo allo scopo di firmare e certificare le sottochiavi. Il problema si presenta quando provi a scrivere le chiavi di una smartcard che ha solo tre chiavi / slot per le sottochiavi, dato che voglio scrivere la chiave principale all'interno della scheda.

Funzionerà e sarà ancora sicuro di aggiungere la capacità di autenticazione alla chiave master 0E427716 quindi di scriverlo sulla smartcard insieme a solo due sottochiavi (una per la firma 49C9CBD7 e una per la crittografia A7D84FFD)?

Per chiarire l'immagine finale nella smartcard sarà:

pub  4096R/0E427716  created: 2016-01-15  expires: never       usage: SCA
sub  2048R/49C9CBD7  created: 2016-01-15  expires: 2016-10-12  usage: S
sub  2048R/A7D84FFD  created: 2016-01-15  expires: 2016-10-12  usage: E

Conserverò tre smart card di backup in luoghi sicuri, quindi non preoccuparti, non c'è modo di perdere la chiave master.

    
posta Albert Inmand 15.02.2016 - 19:24
fonte

1 risposta

1

Non ci andrei. Ciò significa un'esposizione aggiuntiva della chiave principale e potrebbe essere stata esposta in bug come CVE-2016-0777 se utilizzato con SSH.

Inoltre, non è possibile distinguere tra l'utilizzo della chiave primaria e l'utilizzo di una sottochiave.

Se hai intenzione di acquistare diverse carte in ogni caso, e ti piace usare una carta per la chiave primaria, comprarne un'altra (o un mazzo di carte) e mettere la chiave primaria su una carta dedicata (set). Ciò non solo ti consentirà di essere sicuro della chiave che utilizzerai (la chiave primaria non è affatto connessa), ma rimuoverà anche la limitazione a tre chiavi delle smart card OpenPGP.

    
risposta data 17.02.2016 - 18:47
fonte

Leggi altre domande sui tag