¿Cuántas claves OpenPGP debo hacer?

64

Estoy aprendiendo a usar las claves OpenPGP en GnuPG, y me pregunto cuál es el umbral que las personas generalmente usan para mantener las claves OpenPGP separadas. Mantener un número increíblemente grande de claves no es bueno, ya que dificulta que otros puedan confiar en él. Por otro lado, mi sensación es que mantener una sola tecla puede no ser capaz de mantener cosas separadas por separado.

¿Cuántas teclas están bien? ¿Cuántos son demasiado?

    
pregunta Jens Erat 29.01.2013 - 05:48
fuente

2 respuestas

66

En general, una clave por identidad debería estar bien.

Una clave puede incluir:

  • Varios UID (para direcciones de correo separadas, ...)
  • Varias subclaves (para diferentes dispositivos, para que puedas poner algunas subclaves en tu móvil; si se pierde, revoca solo esto)

Ventajas

  • Menos problemas al firmar claves, interactuar con los servidores de claves, firmar sus claves de forma cruzada
  • Menos problemas para mantener sus claves, incluido el traslado a otras computadoras, certificados de revocación, ...
  • Menos molestias cuando realmente lo usas
  • Menos contaminación: si alguien quiere usar su clave pública, es más fácil encontrar la correcta, ya que se agrupan de forma semántica. Imagine buscar el nombre de una persona y encontrar una docena de claves para todas sus diferentes direcciones en uso, ¿cuáles utilizar para el cifrado?

Al tener múltiples claves de todos modos

Si desea administrar múltiples ID que no se conectarán directamente (puedo imaginar una personal, una en su empleador, una para cosas que pueden no contener su nombre real, creo que presión gubernamental, ...), por supuesto, siéntase libre de usar múltiples claves primarias.

Limitaciones de subclaves

Los demás cifrados para usted siempre elegirán la subclave más nueva. No hay forma de conectar subclaves a ID de usuarios específicos (por ejemplo, tener diferentes subclaves para el trabajo y el hogar). Esta sería una buena razón para usar múltiples claves primarias (también, su empleador podría requerir la clave privada, según su legislación local). Esto no es válido para firmar subclaves: cada computadora solo usará la subclave disponible; Si solo distribuye la subclave específica, puede imponer fácilmente una subclave determinada.

GnuPG solo puede combinar diferentes conjuntos de subclaves privadas para una clave principal a partir de la versión 2.1. Asegúrese de tener todas las subclaves en una sola máquina y exporte según sea necesario, o actualice GnuPG. Hay una forma de usar gpgsplit y cat , pero es tedioso y requiere un conocimiento profundo de RFC4880 (la especificación OpenPGP).

Creando y exportando subclaves

Las subclaves se generan ejecutando gpg --edit-key [key-id] para la clave principal y luego iniciando el asistente de generación de subclaves con el comando addkey (no se olvide de save después). Para exportar una subclave (o un conjunto de subclaves), ejecute gpg --export-secret-subkeys [subkey-id]! >subkey.pgp ; no olvide el signo de exclamación ! ; de lo contrario, GnuPG resolverá la subclave a la clave principal asociada (y exportará esta en su lugar). Puedes importarlo usando el comando normal gpg --import [file] .

Recomiendo encarecidamente documento de Debian sobre subclaves para obtener más información.

    
respondido por el Jens Erat 29.01.2013 - 10:32
fuente
11
  

¿Cuántas teclas están bien? ¿Cuántos son demasiado?

Solo necesita varias claves si desea tener varias identidades desconectadas. Las identidades están firmadas y una clave puede tener múltiples identidades. Por lo tanto, podría tener una clave con todas las identidades que desea reclamar.

Del mismo modo, puede crear tantas claves como desee para tener identidades desconectadas. Es un asunto totalmente personal en cuanto a cuántas cree que serán apropiadas y personalmente manejables.

    
respondido por el Jeff Ferland 29.01.2013 - 06:53
fuente

Lea otras preguntas en las etiquetas