Creación de subclaves para una clave OpenPGP existente

Navega tus respuestas
3

Tengo una clave OpenPGP existente que se ha usado con poca frecuencia. Todas las capacidades parecen estar vinculadas a la clave maestra, no hay subclaves. 

/home/user/.gnupg/pubring.gpg
------------------------------
sec   rsa4096 2014-06-02 [SCE] [expires: 2017-06-23]
  .. key details, no subkeys ..

Me gustaría moverme a una subclave para firmar y una subclave para cifrado, como documentado por Debian . Esto me permitirá usar una tarjeta inteligente y almacenar la clave maestra fuera de línea.

Con el siguiente fondo:

  • No hay ninguna indicación de que se hayan comprometido las claves, solo quiero mejorar la seguridad general al no tener la llave maestra en mi PC.
  • No he usado la clave para firmar nada.
  • No me importa si no puedo descifrar los datos antiguos.

¿Puedo generar dos subclaves, eliminar las capacidades de firma / cifrado del maestro y seguir usando esta clave? ¿O hay una razón convincente para generar una clave completamente nueva con una declaración de transición?

    
pregunta David 27.06.2016 - 17:46
fuente

1 respuesta

2

Si está (algo) seguro de que la clave no está comprometida, simplemente crearía un grupo de subclaves y movería las claves que desee a tarjetas inteligentes u otros lugares sin conexión. Es fácil agregar subclaves usando los comandos gpg[2] --edit-key y addkey .

Las las marcas de uso se almacenan en un subpaquete de firma , por lo que cambiarlas no cambia las clave (con respecto a su ID de clave, que invalidaría todas las certificaciones). Sin embargo, no es posible editar los indicadores de uso en GnuPG (pero pirateando el código ). Desde un mensaje de Resul Cetin en ese hilo de la lista de correo:

  

Ok, fue bastante fácil de hacer (no está limpio, pero se puede hacer de forma rápida y   manera hackish). Sólo buscó gnupg-1.4.9/g10/getkey.c:parse_key_usage y   cambió p a non-const y siempre establezca (*p) &=~2; . Después comencé mi   Nuevo compilado hackish- gpg --edit-key y establecer la caducidad de mi clave maestra. Después   Este procedimiento solo tenía el indicador de Cert activado. Gracias christoph tu eres mi   héroe personal del día :)

Personalmente, no me importaría demasiado el indicador de uso de la clave maestra. Si un atacante obtiene la clave principal, podría cambiar las marcas de uso, de todos modos.

    
respondido por el Jens Erat 27.06.2016 - 23:41
fuente

Lea otras preguntas en las etiquetas

¿Qué es más seguro para una función de restablecimiento de contraseña - preguntas de seguridad o enlace de restablecimiento en el correo electrónico? [duplicar] Cadena hexadecimal en el campo SNI TLS