Generar subclaves basadas en una clave primaria OpenPGP menos segura

Navega tus respuestas
4

He estado leyendo acerca de los beneficios de usar subclaves OpenPGP para diferentes máquinas. Obviamente, es una práctica mucho más segura que copiar alrededor de la misma clave maestra entre varias máquinas (especialmente computadoras portátiles).

Estoy planeando migrar a la forma "una subclave por máquina" de administrar las claves OpenPGP como se describe aquí: enlace

Las instrucciones son bastante claras si está configurando la firma OpenPGP desde cero . Sin embargo, he estado usando una clave rsa2048 ( DB746BD8 ) durante varios años, e idealmente me gustaría mantener la confianza y la identidad asociada a ella. ¿Hay alguna guía (reciente) de mejores prácticas que explique una situación como esta? Por ejemplo, ¿tiene sentido (es decir, agrega seguridad) generar subclaves de 4096 bits con una clave maestra rsa2048? ¿Sería mejor generar una nueva clave primaria rsa4096? ¿O algo completamente diferente?

EDIT

Alguna información adicional sobre mi clave / situación particular:

  • La clave se usó principalmente para la firma de confirmación Git: no creo que se haya utilizado nunca para el cifrado, ni se haya cargado en un servidor de claves.
  • La única vez que se "publicó" fue cuando se cargó en el sitio web de GitHub, como se describe aquí .
  • La clave no ha sido certificada / firmada por nadie.

Mi objetivo es descubrir la configuración de PGP / GPG para el medio a largo plazo , y hasta ahora el plan tiene este aspecto:

  1. Decida la clave principal a usar
    1. Mantener la clave primaria rsa2048 existente DB746BD8
    2. Generar una nueva clave principal (por ejemplo, rsa4096, ecdsa)
  2. Generar y distribuir nuevas subclaves
  3. Subir clave a los servidores de claves
  4. Utilícelo potencialmente para el cifrado, para firmar las claves de otras personas, etc.

La pregunta principal es si debo ir con 1.1. o 1.2. - especialmente teniendo en cuenta que después de seguir 2. 3. y 4., podría ser más difícil cambiar más adelante a una nueva clave (?).

    
pregunta friederbluemle 15.09.2017 - 18:29
fuente

1 respuesta

1

Debe distinguir entre la seguridad de toda su clave OpenPGP (depende de su clave principal) y la seguridad del mensaje cifrado / firmado (depende principalmente de la subclave, pero vea más abajo).

Clave principal

La clave principal en sí obviamente no está reforzada: todas las operaciones de claves principales ( certificaciones en otras claves, gestión de ID de usuario, gestión de subclaves, emisión de certificados de revocación ) están vinculadas a la clave principal. Si un atacante obtiene la clave principal (por ejemplo, mediante ataques de fuerza bruta que podrían ser posibles en el futuro), podrá realizar todas esas tareas. Además, la clave principal a menudo establece el bit de capacidad de firma, por lo que también puede emitir certificaciones válidas (de hecho, esto es lo predeterminado si crea pares de claves en GnuPG).

Firma

Las subclaves se utilizan para el "trabajo diario": firmar y cifrar documentos. Para firmas , un atacante puede crear fácilmente un nuevo par de subclaves (y de confianza automática) cuando obtiene la clave principal, por lo tanto, no existe un uso real para crear una subclave más fuerte (por supuesto, uno podría verifique manualmente qué clave de firma se usó, pero esto definitivamente no es el estándar y la mejor práctica de OpenPGP).

Cifrado

Para las claves de cifrado, la situación es diferente: una vez que se cifró un mensaje para una subclave, la creación de nuevas subclaves de cifrado no sirve de nada. En otras palabras: un atacante no podrá descifrar los mensajes antiguos encriptados antes de que obtenga la clave principal secreta. Tan pronto como tenga acceso a él, podrá emitir una nueva clave de cifrado y mensajes de intercepción. Las implementaciones de OpenPGP utilizan la subclave válida más nueva capaz de cifrado. De hecho, ya no podrá leer esos mensajes (ya que no tiene acceso a la nueva clave secreta).

Pero en ambos casos (subclaves de firma y cifrado), al menos puede darse cuenta de que algo está mal, ya que el atacante tendrá que distribuir las nuevas subclaves. Pero no te darás cuenta de que ocurrió un ataque antes de que el daño ya haya ocurrido.

Envolver

Hay algo de uso, y como crear un nuevo par de subclaves es una tarea fácil y barata, ¿por qué no hacerlo? Pero para una solución a largo plazo, considere eliminar su clave anterior y cambiar a un nuevo par de claves . Tal vez incluso considerar nuevas claves ECDSA ya?

    
respondido por el Jens Erat 16.09.2017 - 10:40
fuente

Lea otras preguntas en las etiquetas

¿Cómo mitigar el ataque de la ingeniería social WIFI de las gemelas? ¿Qué tan serio es el ataque de Borgaonkar / Hirschi a la seguridad celular 3 / 4g?