¿Es típico crear los pares de claves x509 y OpenPGP?

5

Estoy pensando en aumentar el uso de "cosas" firmadas y encriptadas: documentos de LibreOffice, chat fuera de registro, archivos PDF, correos electrónicos, etc. Estoy encontrando que algunas cosas solo admiten certificados de formato x509, y otros solo admiten certificados de formato OpenPGP.

También me gusta que OpenPGP no sea dependiente de CA, y no me gusta que el modelo de CA sea vulnerable a la interferencia del gobierno. Sin embargo, el modelo de CA es conveniente en ciertos casos de uso (por ejemplo, enviar un PDF firmado a un académico viejo y experto que no sabe nada acerca del cifrado).

Pensé en crear un Frankensteinian x509 / OpenPGP hybrid del mismo par de claves, pero no estoy seguro de que valga la pena.

Creo que la pregunta es: ¿Es recomendable poseer y mantener dos pares de claves, una en formato x.509 y la otra en OpenPGP?

    
pregunta scuzzy-delta 18.12.2013 - 23:30
fuente

1 respuesta

6

Para todos los propósitos prácticos, los certificados X.509 y los pares de claves OpenPGP viven en mundos separados. Necesita un certificado X.509 para interoperar con personas / sistemas que usan certificados X.509. Necesita un par de claves OpenPGP para intercambiar correos electrónicos seguros con personas que usan OpenPGP. Si quieres hacer ambas cosas, necesitas ambas.

Una idea clave es que tales claves no tienen sentido . En cierto sentido. Un certificado X.509, o una clave pública OpenPGP firmada (el mismo concepto), vincula una clave pública a una identidad . ¿Cuál es su identidad ? Si lo miras de cerca, encontrarás que tienes varios. Legalmente, usted es un ciudadano (o sujeto) de algún país, y uno de los monopolios de los gobiernos centrales es definir las identidades de las personas que están bajo su alcance nominal. Pero ese gobierno no es el que emite su certificado X.509, y mucho menos firma su clave OpenPGP. Además, dudo mucho que su tarjeta de identificación oficial / pasaporte / permiso de conducir / lo que sea que lleve el nombre "scuzzy-delta".

De hecho, con Web of Trust de OpenPGP, su identidad es dirigida por la comunidad : Usted tiene como nombre cualquier valor que otras personas consideren convincente. Depende de la comunidad, y perfectamente podría tener varias identidades de este tipo (muchas personas tienen una "dirección de correo electrónico personal" y una "dirección de correo electrónico comercial"). En cuanto a los certificados X.509, su identidad es controlada por procedimientos : es lo que se verifica implícitamente mediante el proceso mediante el cual la CA "determina su identidad" (algunas CA, para algunos certificados, solo verifican que usted controla una dirección de correo electrónico).

En estas condiciones, tiene poco sentido mantener un certificado X.509 y / o un par de claves OpenPGP "genéricamente". Debes tener las claves para un propósito . Por ejemplo, es posible que desee un par de claves OpenPGP para que las personas puedan intercambiar correos electrónicos cifrados con su persona "scuzy-delta" . O un certificado X.509 con el nombre y la dirección que usted estaría de acuerdo en mostrarle a los académicos más veteranos (o, para el caso, a su madre). O tal vez un certificado cuyo propósito es autenticar sus conexiones con alguna VPN.

    
respondido por el Thomas Pornin 19.12.2013 - 13:16
fuente

Lea otras preguntas en las etiquetas