Use una subclave para firmar y encriptar

Question

Use una subclave para firmar y encriptar

#1 de Jens Erat (1 votos)

2

Estoy eliminando mi antigua clave OpenPGP y estoy creando una nueva. Planeo guardar la llave principal y hacer trabajo diario solo con subclaves .

Las subclaves serán válido por un año y Agregaré nuevos después de ese tiempo.

¿Debo crear una subclave cada año que se use tanto para firmar como para cifrar (las claves RSA lo admiten)? La alternativa sería tener dos claves, una para cada tarea.

Hay un pregunta sobre eso en general , pero no creo que se aplique a mí:

Estoy hablando específicamente de OpenPGP / GnuPG
La custodia de claves en el trabajo no es un problema ya que solo uso la clave para la comunicación privada

Si la respuesta es "potencialmente insegura", ¿se mantiene esto para las claves RSA OpenPGP? ¿Por qué?

key-management gnupg pgp

pregunta cweiske 19.07.2017 - 08:42

fuente

1 respuesta

Lea otras preguntas en las etiquetas key-management gnupg pgp

¿Lista actual de prácticas de PHP seguras? [cerrado] Adivinación de cadenas de consulta de URL [cerrado]

score 1 · Answer 1

Tienes razón, un solo par de claves RSA admite tanto la firma como el cifrado; todas las restricciones son impuestas por los indicadores clave configurados durante el tiempo de creación de la clave. Otros algoritmos de criptografía públicos / privados solo permiten una u otra acción debido a razones técnicas (por ejemplo, DSA para firma y el-gamal para cifrado).

Las razones en las Q & A vinculadas se aplican también a OpenPGP. Por un lado, tiene ventajas de administración clave como el depósito de claves individuales. En general, al "reutilizar" la misma clave, puede habilitar ataques (conocidos o desconocidos) en la clave que de otra forma no habría sido posible.

En general, tiene algunos beneficios de usar claves distintas para el cifrado y la firma; al mismo tiempo, OpenPGP toma todas las molestias para mantener varias subclaves. La mayoría de los costos se reducen a algunos kilobytes adicionales agregados a su clave y una cantidad insignificante de tiempo de cálculo para crear las claves. Además de ejecutar addkey dos veces, no hay ningún esfuerzo administrativo adicional para crear un segundo par de claves.

Teniendo en cuenta que hay algunas ventajas (o al menos podría evitar posibles ataques) sin costo alguno, no veo ninguna razón para no crear un segundo par de subclaves.