3 votos

¿Debo usar una subclave de gpg para ambiente de trabajo (no tan seguro)?

Estoy tratando de utilizar gpg para cifrar y firmar mensajes, pero el uso de diferentes equipos (de escritorio, notebook, office) así que no estoy seguro de cómo administrar las claves privadas en esos entornos.

Debo usar una copia de la clave privada en cada equipo o puede ser que tengo uso de los diferentes sub-claves para cada entorno. Es que incluso posible/recomendable?

Actualización

Debo usar --export-secret-subkeys a la exportación de la clave privada a mi entorno de trabajo sin comprometer la llave maestra? Puedo usar otra frase de paso para las diferentes teclas/entornos?

2voto

jonasmalacofilho Puntos 229

Usted claves PGP contiene en realidad más que la clave maestra (utilizado para firmar las claves de los demás y de su propia subclaves, y lo que realmente está firmado por otros usuarios): una subclave para la firma de los mensajes (opcional, normalmente es la llave maestra de sí misma, pero no necesariamente) y uno para el cifrado de contenido. Más info en el Wiki de Debian y en el GNU Privacy Handbook.

Así que... Se podría mantener su llave maestra sólo en un dispositivo seguro, que permite intercambiar su firma y el cifrado de llaves sin que sus compañeros tener que verificar y firmar las nuevas llaves. Manteniendo su llave maestra almacenan de forma segura, usted podría tener una más vigorosa clave de la política de rotación sin crear demasiado trabajo para los demás. También, en el caso de un sospechoso o confirmado de puerro de la subclave del material secreto, podría revocar sin mucha molestia.

Yo personalmente uso un dos subclave del programa de instalación (también ver esta pregunta), no sólo para mantener la clave maestra razonablemente seguro, pero también porque el uso de diferentes tamaños de claves: la clave maestra tiene 4096 bits, la firma y el cifrado de subclaves tienen sólo 3072 bits.


Por otro lado, si los entornos no se superponen con mucho, lo mejor sería completamente diferentes claves PGP, muy minimizar los daños de cualquier posible vulnerabilidad.

Además, se puede (debe) utilizar muy larga de frases para que las teclas en el menos seguro de los dispositivos.

0voto

Jens Erat Puntos 6397

No hay manera de adjuntar una subclave para un determinado ID de usuario. Incluso no hay una forma de definir las preferencias en el que subclaves otros deben utilizar para el cifrado; la mayoría de las implementaciones se acaba de utilizar la más reciente.

Si desea iniciar una sesión única, el uso de varias subclaves está bien (si no sólo es una sola firma subclave, esto va a ser elegido). Si desea recibir correo cifrado,

  • utilizar un único cifrado (sub)de la clave que se le cambio si es necesario (intercambio de subclaves es barato y fácil) o
  • el uso de múltiples claves principales para diferentes lugares/"roles", por ejemplo privada y el trabajo.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: