Copié mi carpeta .gnupg de Mac OS X, y ahora Seahorse me permite firmar mi propia clave. ¿Esto es normal?

Navega tus respuestas
1

Tengo una configuración de arranque dual con Mac OS X Mountain Lion y Debian GNU / Linux Sid (totalmente actualizada).

Instalé gpg en OS X ejecutando brew install gpg . Luego generé un keypair para que lo use.

Los paquetes gnupg (y gnupg2 , aunque este no es el predeterminado gpg ) y seahorse se instalaron durante la instalación de Debian.

Cuando abro Seahorse, aparece una ventana con un elemento que dice mi nombre, mi correo electrónico y la "Clave personal de PGP". Cuando hago doble clic en él y obtengo una vista de detalles que dice "Clave PGP privada", la ID de la clave, mi correo electrónico y mi nombre.

Esta es mi pregunta: cuando hago clic en la pestaña Nombres y firmas en la ventana de detalles de la clave, aparece un elemento de la lista: mi clave. Sin embargo, cuando hago clic en la tecla, el botón para firmar la tecla está habilitado. ¿Es este el comportamiento normal? Si es así, ¿cuál sería el uso para firmar su propia clave?

    
pregunta strugee 29.07.2013 - 08:36
fuente

1 respuesta

3

Si genera un par de claves PGP públicas / privadas y publica la mitad pública sin firmarla con la mitad privada, se está dejando susceptible a un ataque de denegación de servicio. Una vez que ingresas tu clave pública a un servidor PGP, un atacante puede modificarla y redistribuirla.

El ataque es algo así: el atacante obtiene su clave del servidor PGP, modifica la ID de usuario (correo electrónico), mientras que la huella digital de la clave no cambia, por lo que la clave seguirá siendo auténtica. Luego, redistribuyen su clave lo más ampliamente posible, tal vez a través de otra base de datos PGP.

Cualquier persona que aún no conozca su correo electrónico y tenga que confiar en la base de datos pública de PGP para encontrarlo enviará mensajes a esta nueva identificación y nunca recibirá el correo. Sin embargo, el atacante no podrá descifrarlos sin obtener su clave privada, por lo que es solo un DoS y uno que no es muy eficaz en mi humilde opinión. Muy pocas personas usan los servidores PGP como libretas de direcciones en estos días.

Todavía es una posibilidad y una que es bien conocida y fácilmente derrotada. Por último, recuerdo que la mayoría de las aplicaciones PGP firman su clave pública cuando el par se crea de forma predeterminada, pero ha pasado mucho tiempo desde que creé una nueva clave.

Hay una buena reseña sobre esto aquí: enlace

    
respondido por el flihp 29.07.2013 - 12:52
fuente

Lea otras preguntas en las etiquetas

¿Cuánto tiempo tomaría la fuerza bruta del cifrado AES? ¿Cómo puedo identificar de manera segura un dispositivo remoto (programado y auto programado) en PHP?