Mejor práctica: ¿Debo revocar una identidad con firma automática utilizando SHA1?

5

Cuando creé por primera vez con el par de llaves PGP, desafortunadamente mi identidad autofirmada usando SHA1 .

Luego firmé nuevamente usando SHA512.

¿Tiene sentido revocar la firma SHA1 ahora o eso solo llenará el servidor de claves?

    
pregunta Jonathan Cross 22.03.2016 - 22:00
fuente

1 respuesta

3

En primer lugar, esto no requerirá que revoque la ID / identidad del usuario, simplemente puede agregar una autofirma más nueva que sustituya a la antigua firma basada en SHA-1.

No me importaría la antigua firma. Por un lado, las autofirmas pueden volver a emitirse como desee, de hecho, se vuelven a emitir cada vez que se cambian las preferencias clave (las que se almacenan en autofirmas), mientras que la más reciente debe considerarse la "válida".

No se preocupa por saturar la red del servidor de claves. Agregar una revocación es solo una firma más (o más bien, una por ID de usuario), esto no es un cambio notable para los servidores clave (hay miles de nuevas certificaciones cada día).

¿Pero tendría sentido? Bueno, una revocación usualmente explica algo raro acerca de la firma revocada. Se emitió por error, después de un tiempo se dio cuenta de que se emitió sobre supuestos erróneos, usted no emitió la certificación (aunque probablemente preferiría revocar toda la clave en este caso).

SHA-1 podría no ser lo suficientemente seguro en un futuro próximo. ¿Qué significa esto para autofirmas ? En este caso, no debe confiar en las firmas de SHA-1, ya que cada uno de ellos podría haber sido emitido por un atacante. Si revoca su antigua firma SHA-1, esto no impedirá que un atacante emita nuevas certificaciones falsas. Por lo general, solo debe considerar firmas confiables e ignorar todas las demás. No trataría las autofirmas no confiables de manera diferente a las emitidas por claves no confiables o algoritmos débiles, y simplemente los ignoraría.

En definitiva: la parte importante es que tiene una autofirma nueva y confiable. El antiguo ya no importa más, revóquelo si lo desea, consérvelo si no quiere abarrotar su lista de claves, o si es demasiado vago.

    
respondido por el Jens Erat 22.03.2016 - 22:49
fuente

Lea otras preguntas en las etiquetas