uso de la clave para la clave maestra gnupg sin conexión

Navega tus respuestas
1

He estado leyendo algunos artículos sobre el uso de una clave maestra sin conexión para gnupg, y estoy confundido acerca del uso de la clave. Parece que cada artículo tiene una opinión diferente al respecto. He visto los siguientes usos en la clave maestra:

  • C: solo certificar
  • S: solo firma
  • CS: solo certifique y firme

¿Cuál es el uso correcto de la clave maestra en estos días? Tengo una subclave diferente para la firma, el cifrado y la autenticación.

En este momento, solo especifiqué (C) ertificar en mi clave maestra fuera de línea, pero quiero estar seguro de que esto es suficiente y no tendré ninguna sorpresa cuando una de mis subclaves caduque (y necesito extenderlas ).

    
pregunta Jeroen Jacobs 13.07.2018 - 22:03
fuente

2 respuestas

2

El "maestro" es la clave que puede certificar otras subclaves, por lo que el único uso relevante para su clave maestra es (C). Cuando GnuPG crea un nuevo conjunto de claves, el comportamiento predeterminado es crear una clave maestra que también puede actuar como clave de firma, por lo que le asigna capacidades (CS), por lo que con frecuencia ve esa combinación. Sin embargo, solo la capacidad (C) es relevante para su maestro fuera de línea.

En otras palabras, lo que tienes es correcto .

    
respondido por el mricon 14.07.2018 - 00:21
fuente
0

Según mi conocimiento de las infraestructuras de clave pública (PKI), una "autoridad de certificación raíz" debe estar autofirmada y ser capaz de firmar otros certificados debajo de sí misma. En una capacidad similar, la clave maestra sin conexión descrita también necesitaría estos mismos privilegios.

  1. Certificar (C): la clave principal "clave maestra" DEBE ser una clave capaz de certificación (para los conjuntos de subclaves).
  2. Firma (S): se requerirá para que la "clave maestra" cifre los datos (o claves) con su clave privada.

De lo que he derivado sobre CS, será necesario que la clave maestra funcione en una capacidad de una clave maestra fuera de línea (PKI). Sin embargo, una lectura adicional me llevó a un artículo de GnuPG Firma de la certificación cruzada de subclaves . Lo que describe la "clave maestra" no se autofirma (como nuestra PKI), lo que crea una debilidad "la subclave de firma no firma la principal para mostrar que es de la primaria. Esto permite que un atacante tome una firma Subclave y adjúntela a su propia clave ". Esto se discute más a fondo " GPG ¿Por qué mi clave de confianza no está certificada con una firma de confianza? "

También vea, " qué acciones certifica la capacidad de GnuPG permiso " y " Anatomía de una clave GPG "

Que resume: "Certificación frente a firma: 'Firmar' es una acción contra datos arbitrarios. 'Certificación' es la firma de otra clave. Irónicamente, el acto de certificar una clave se denomina universalmente" firma clave ". La contradicción. "

Por lo tanto, recomendaría CS para su uso.

    
respondido por el safesploit 14.07.2018 - 00:24
fuente

Lea otras preguntas en las etiquetas

Notas seguras (bloqueadas) de iOS y MacOS es -nU una opción con nmap?