¿Hay algo que hacer con las antiguas claves de gpg?

Navega tus respuestas
21

Hace unos años (en la escuela secundaria) creé algunas claves de gpg, las publiqué en un servidor de llaves, etc. porque era el niño más joven en el bloque. Ahora he pasado por algunas computadoras y sistemas operativos nuevos, etc., y perdí las claves privadas y los certificados de revocación. Es bueno que no haya creado las claves con ningún vencimiento, ¡para que puedan vivir para siempre!

Mi pregunta es esta: ¿estas claves estarán fuera hasta el final de los tiempos? o en algún momento serán borrados? ¿Es cierto que no puedo eliminarlos sin los certificados de revocación? ¿Hay algún problema que pueda encontrar con estas claves que existen para siempre?

    
pregunta peterw 04.03.2013 - 16:54
fuente

3 respuestas

13

"Privacidad" tenía un significado diferente cuando PGP obtuvo su nombre. Los servidores de claves y las implicaciones de publicar los nombres y metadatos de las personas que firmaron sus claves no eran un tema bien entendido en ese entonces, pero hoy en día es una preocupación de privacidad bastante seria.

Dado que las direcciones de correo electrónico cambian, y la "identidad" puede estar razonablemente ligada al nombre legal, la fecha de nacimiento y la ciudad de residencia, tengo una entrada de PGP allí con demasiada información y firmas de algunos personajes interesantes. p>

Se puede usar un estudio razonable de fechas de firmas para averiguar dónde estaba, en qué fecha, con quién me reuní y a qué conferencias podría haber asistido. Me gustaría quitar mis llaves y jugar mis cartas un poco más cerca de mi pecho, pero no puedo.

Según mi conocimiento, no hay forma de eliminar la información, incluso si tiene el certificado de revocación. Simplemente se almacenarán junto con la revocación para indicar que su clave se vio comprometida.

Estaría muy feliz de estar equivocado acerca de esto.

La desventaja de tener claves no revocadas en la naturaleza no es demasiado grave. Puede parecer poco profesional, hacer que sea más difícil encontrarlo en un servidor clave y puede hacer que las personas le envíen correos electrónicos que no puede descifrar. Aparte de eso y las preocupaciones normales acerca de la filtración de su red social a través de la red de confianza, no hay problemas graves.

    
respondido por el mgjk 04.03.2013 - 17:12
fuente
8

En algún momento, encontré nada menos que cinco pares de claves publicadas, con mi dirección de correo electrónico. No los creé, así que debo asumir que alguien más lo hizo, por razones que me evadieron. No estoy demasiado preocupado con estas claves.

Tu situación es similar, excepto que como las llaves eran realmente tuyas, sabes que la clave privada no está en Evil Hands. Te sugiero que dejes de preocuparte por eso.

En un mundo ideal , las personas que quieran usar su clave pública para escribirle un correo electrónico primero validarán la clave pública que encuentran en los servidores de claves, utilizando Web of Trust . En el mundo real , usarán la clave que usted anunció en su página web o que les envió en un correo electrónico anterior. De cualquier manera, las claves espurias en los servidores de claves se ignorarán.

    
respondido por el Thomas Pornin 04.03.2013 - 17:19
fuente
1

Como ya se ha dicho, esas claves existirán para siempre. También tengo una vieja y molesta clave 1024D / FCFAC0B0 . He marcado esa clave antigua como revocada firmándola con una clave recién creada para la identidad: 

"WARNING: Key was revoked! (Identity for revoking) <[email protected]>"

Además, lo firmé con mi clave actual.

    
respondido por el Markus Malkusch 15.12.2013 - 11:35
fuente

Lea otras preguntas en las etiquetas

¿La recuperación de una sola vez almacenada localmente de LastPass es un problema de seguridad? Explicación de la técnica de encriptación cliente-servidor (TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, claves de 128 bits)