Quante chiavi OpenPGP dovrei creare?

66

Sto imparando a usare le chiavi OpenPGP in GnuPG e mi chiedo quale sia la soglia che le persone generalmente usano per mantenere le chiavi OpenPGP separate. Mantenere un numero incredibilmente grande di chiavi non è buono, dal momento che rende difficile la fiducia degli altri. D'altra parte, il mio sentimento è che mantenere una singola chiave potrebbe non essere in grado di tenere separate le cose separate.

Quanti tasti sono a posto? Quanti sono troppo?

    
posta Jens Erat 29.01.2013 - 05:48
fonte

2 risposte

65

In generale, una chiave per identità dovrebbe andare bene.

Una chiave può includere:

  • Diversi UID (per indirizzi di posta separati, ...)
  • Diverse sottochiavi (per dispositivi diversi, quindi puoi inserire qualche sottochiave sul tuo cellulare; se si perde, revocare solo questo)

vantaggi

  • Meno problemi durante la firma delle chiavi, l'interazione con i server delle chiavi, la firma incrociata delle chiavi
  • Meno problemi nel mantenere le tue chiavi, incluso il passaggio ad altri computer, i certificati di revoca, ...
  • Meno problemi quando lo si utilizza effettivamente
  • Meno inquinamento: se qualcuno vuole usare la tua chiave pubblica, è più facile trovarne uno corretto in quanto sono raggruppati in modo semantico. Immagina di cercare il nome di una persona e trovare una dozzina di chiavi per tutti i suoi diversi indirizzi in uso, che usare per la crittografia?

Su più tasti comunque

Se vuoi gestire più ID che devono non essere collegati direttamente (posso immaginarne uno personale, uno al tuo datore di lavoro, uno per cose che potrebbero non contenere il tuo vero nome - penso pressione governativa, ...), sentirsi naturalmente liberi di utilizzare più chiavi primarie.

Limitazioni delle sottochiavi

Gli altri tipi di crittografia sceglieranno sempre la sottochiave più recente. Non è possibile connettere le sottochiavi a specifici ID utente (ad esempio, per avere diverse sottochiavi per lavoro e casa). Questa sarebbe una buona ragione per utilizzare più chiavi primarie (inoltre, il datore di lavoro potrebbe essere in grado di richiedere la chiave privata, a seconda della legislazione locale). Questo non è valido per la firma di sottochiavi: ogni computer utilizzerà solo la sottochiave disponibile; se si distribuisce solo la sottochiave specifica, è possibile applicare facilmente una determinata sottochiave.

GnuPG può solo unire diversi set di sottochiavi private per una chiave primaria a partire dalla versione 2.1. Assicurati di avere tutte le sottochiavi su una singola macchina ed esporta come necessario, oppure aggiorna GnuPG. C'è un modo per usare gpgsplit e cat , ma è noioso e richiede una profonda conoscenza di RFC4880 (la specifica OpenPGP).

Creazione ed esportazione di sottochiavi

Le sottochiavi vengono generate eseguendo gpg --edit-key [key-id] per la chiave primaria e quindi avviando l'assistente di generazione di sottochiavi con il comando addkey (non dimenticare di save in seguito). Per esportare una sottochiave (o una serie di sottochiavi), eseguire gpg --export-secret-subkeys [subkey-id]! >subkey.pgp - non dimenticare il punto esclamativo ! , altrimenti GnuPG risolverà la sottochiave sulla chiave primaria associata (ed esporta invece questa). Puoi importarlo usando il normale comando gpg --import [file] .

Raccomando vivamente il documento di Debian sulle sottochiavi per ulteriori letture.

    
risposta data 29.01.2013 - 10:32
fonte
11

How many keys are okay? How many are too much?

Hai bisogno di più chiavi se vuoi avere più identità disconnesse. Le identità sono firmate e una chiave potrebbe avere più identità su di essa. Quindi, potresti avere una chiave con tutte le identità che desideri rivendicare.

Allo stesso modo, puoi creare tutte le chiavi che vuoi avere identità disconnesse. È interamente una questione personale su quanti ritieni siano appropriati e personalmente gestibili.

    
risposta data 29.01.2013 - 06:53
fonte

Leggi altre domande sui tag