Estoy mirando la descripción del evento para la fiesta de firma de claves en una próxima conferencia de BSD , y se menciona que no debo llevar mi computadora al evento:
Cosas que traer
- ninguna computadora
¿Qué riesgos conlleva traer una computadora a una parte de firma de claves?
Cita de Wikipedia :
Aunque las claves PGP se usan generalmente con computadoras personales para Aplicaciones relacionadas con Internet, partes de firma clave. Generalmente no involucran computadoras, ya que eso daría los adversarios aumentan las oportunidades para el subterfugio . Más bien, los participantes escriben una serie de letras y números, llamados Clave pública de huella, que representa su clave. La huella dactilar es creado por una función criptográfica hash, que condensa al público clave hasta una cadena que es más corta y más manejable. Los participantes intercambian estas huellas dactilares a medida que se verifican entre sí. identificación. Luego, después de la fiesta, obtienen las claves públicas. Corresponden a las huellas dactilares que recibieron y firman digitalmente. ellos.
otro de openwest :
Si trae una computadora, manténgala en su bolsa y apáguela durante la fiesta. Esto es para medidas de seguridad para prevenir la propagación. de software malicioso, la mala colocación de las claves privadas, y dañado o equipo extraviado .
En primer lugar, esa declaración no significa "no traiga una computadora"; significa "no necesitas traer una computadora". Es probable que muchas personas que acuden a su primera parte de firma de claves asuman que, dado que las claves están diseñadas para ser utilizadas en computadoras, deberán llevar una computadora que contenga sus claves, firmas o software de cifrado. Lo que realmente sucede es que la verificación de las claves se realiza mediante el uso de huellas dactilares clave sin computadoras y se ingresa en una base de datos en línea después del evento desde las propias computadoras de los participantes en el hogar.
En segundo lugar, como una computadora no se usa en la parte de firma clave, generalmente se desaconseja llevar una computadora a una parte de firma clave. Tener computadoras innecesarias en un evento de ese tipo es un gran riesgo para la seguridad, ya que un participante malintencionado podría usar la computadora de otro participante para firmar su propia clave con la firma del otro participante, o incluso podría robar las claves privadas de otras personas o distribuir malware. En resumen, las computadoras no son necesarias en las firmas clave y tenerlas presentes introduciría todos los riesgos de seguridad que las computadoras conllevan inherentemente, lo que nunca es una buena idea cuando es probable que esas computadoras contengan claves privadas de encriptación, por lo que la mayoría prefiere que los participantes escriban huellas dactilares de las claves públicas en papel y mantengan sus claves privadas de forma segura en casa.
Es una cuestión de velocidad y comodidad, en su mayor parte.
Sus opciones básicas para firmar una clave:
Ambos participantes configuran sus computadoras una al lado de la otra, una lee su huella digital, la otra verifica al mismo tiempo, luego la clave se firma inmediatamente.
Un participante muestra la pantalla de su computadora con la huella digital a la otra, quien escribe la huella digital.
El firmante entrega una pequeña hoja de papel junto con su identificación con foto, y el firmante conserva el papel.
Es obvio ver que el método 3 es mucho más rápido que los otros dos. Al pedirles a las personas que no traigan computadoras, se les pide implícitamente que traigan suficientes copias de su clave, o que se registren de antemano para que puedan distribuir una lista de huellas digitales (deberá verificar que la clave en el archivo es suya). lea una suma de comprobación del archivo al principio).
Enchufe desvergonzado: si solo tiene caracteres ASCII en su nombre, la secuencia de comandos gpg-key2ps puede serle de utilidad. Siempre es una buena idea tener unos cuantos llaveros en su bolsillo.
Lea otras preguntas en las etiquetas key-management digital-signature pgp