¿Cuál es la mejor manera de organizar las claves OpenPGP?

Navega tus respuestas
3

Siempre he usado OpenPGP como un único par de claves privadas / públicas para (S) igning y (E) ncryption.

Pero aprendiendo acerca de las subclaves OpenPGP, se recomienda usar teclas separadas para la certificación (C), el encendido (S) y el cifrado (E). Como entendí, la clave de certificación solo se usa para crear nuevas subclaves. Entonces, ¿cuál es la mejor manera de usar la clave maestra y las subclaves? ¿Por qué no puedo usar la clave maestra para (C), (S), (E) y por qué se recomienda usar claves separadas para (S) y (E)?

    
pregunta 0928e8f6 06.02.2016 - 09:24
fuente

2 respuestas

2

Una de las formas más seguras y prácticas de organizar las claves PGP es utilizar la subclave con clave maestra sin conexión .

En esencia, con las subclaves puede almacenar su clave de verificación Master / (C) en un almacenamiento fuera de línea cifrado y confiable; y su estación de trabajo del día a día solo tiene la clave de encriptación (S) y (E). Solo sacaría su clave (C) cuando necesite firmar o revocar su propia clave o la de otra persona, lo que generalmente sucede con menos frecuencia que la firma y el cifrado normales.

La razón por la que se recomienda usar las teclas separadas (S) y (E) es porque muchas personas usan múltiples dispositivos, y solo puede tener una tecla (E) en todos sus dispositivos si desea poder leer todos sus datos cifrados de cualquiera de sus dispositivos, pero puede usar varias claves (S), una para cada uno de sus dispositivos, y todos sus dispositivos aún pueden verificar firmas porque hay una cadena de confianza en su clave maestra.

Además, puedes poner vencimientos más cortos en tus subclaves. La clave maestra es, de hecho, no expirables, ya que siempre puede extender la caducidad de una clave maestra.

Tenga en cuenta que la versión más reciente de GPG crea subclaves por defecto.

    
respondido por el Lie Ryan 06.02.2016 - 09:31
fuente
0

En general, todas las claves primarias de OpenPGP tienen la capacidad de certificación C . No puede tener una sin ella, se requiere que certifique (firme) la clave de otra persona, realice una operación de administración de claves como crear y revocar subclaves e ID de usuario.

Revocar la clave principal significa que tiene que volver a intercambiar claves con sus socios de comunicación, perder toda la reputación en la web de confianza, ... Se recomienda no usar la clave principal para tareas "diarias" como el cifrado E , firma S y autenticación A . Agregar un par de subclaves es barato y fácil, solo toma unos segundos y los requisitos de almacenamiento son insignificantes.

Rara vez necesita usar las funciones de certificación, es por eso que algunas personas mueven esas llaves a una ubicación fuera de línea: una unidad de disco, otra computadora (antigua) dedicada para este propósito, tarjetas inteligentes OpenPGP.

Para finalizar, la configuración de teclas recomendada es algo así como

  • clave principal, capacidad C (es posible que desee mantenerla fuera de línea)
    • subclave de cifrado, capacidad E
    • subclave de firma, capacidad S (algunas personas usan subclaves de firma adicionales para diferentes equipos)
    • subclave de autenticación, capacidad A (pero probablemente no la necesitará y la use)

(con, por supuesto, cada uno de los que forman un par de clave pública / privada).

    
respondido por el Jens Erat 06.02.2016 - 09:48
fuente

Lea otras preguntas en las etiquetas

¿Qué tan vulnerable es una versión anterior de Outlook como una aplicación de correo electrónico? ¿Se pueden usar los certificados de Passpoint X.509 para las conexiones MITM SSL en las redes de Passpoint?