¿Hay alguna información que no deba incluir en las preguntas sobre GnuPG aparte de mi clave privada?

11

Tengo muchas preguntas sobre GnuPG, pero lo que me detiene es saber que puedo agregar resultados a una pregunta que no debería publicar públicamente.

  • ¿Es un riesgo pegar el resultado de gpg -K ?

  • ¿Qué pasa con gpg --edit [email protected] ?

  • ¿Están todas las salidas de huellas dactilares todas bien para ver?

  • ¿Hay algún otro dato que deba excluir de las preguntas?

Ejecuto gpg (GnuPG / MacGPG2) 2.0.27 con libgcrypt 1.6.3.

    
pregunta Iain 03.09.2015 - 17:23
fuente

2 respuestas

4

Publicar información en su clave

Ocultar tu clave privada es obvio, y ya lo notaste.

La única cosa adicional que no debe publicar (sin intentar hacerlo) es el certificado de revocación que podría haber generado previamente (y GnuPG 2.1 lo está haciendo de forma predeterminada para una buena razón). Con tal certificado de revocación, otros podrían revocar su clave al cargarla en los servidores de claves. Compartir con un amigo o familiar de confianza, por otro lado, podría ser una buena cosa: aún podrían revocar su clave en caso de que algo le suceda (considérelo como una última voluntad digital).

Otras cosas no son un problema. Si publica su clave pública (o huella digital, dirección de correo electrónico, ID de usuario: todas ellas podrían usarse para recuperar su clave de un servidor de claves, dado que está cargada; y si usa su clave, espere para ser cargado por cualquier persona por error o intención). Esto podría permitirle conectar su cuenta de Stack Exchange con su identidad real (que por otra parte no parece ser un problema para usted, mirando su perfil).

De toda la información adicional, como identificaciones de claves, huellas digitales, identificaciones de usuarios, ... no se pueden calcular su clave privada ni su certificado de revocación. Las ID de clave son las partes más bajas de la huella digital, que nuevamente se calculan a partir del tiempo de creación de su clave y clave pública.

Publicación de información creada con su clave

Si no desea revelar su identidad, tenga en cuenta al publicar datos cifrados y / o firmados para su clave, incluso si elimina partes de la salida binaria o blindada ASCII; o publica partes desde tu clave pública. Incluye toda la huella dactilar clave, y lo hace en las primeras partes. Si tienes algo como

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1

owEBOgLF/ZANAwACAY545E37G1XpAcsKYgBV6J49Zm9vCokCHAQAAQIABgUCVeie
PQAKCRCOeORN+xtV6fZxD/oCEDFuXBwdF07UDZOh0v2x7CX7UmruCRs2MwcmZoHV
Uiiag9ibc3951pxCdNfDdB6rKKYc4fqqkMOTFqdi9DXBs6u7r8oiuuDTpqSJxyaM
lgUTiE/8oiF2/JtLgrFTVr5Kq7tgSs5WJ++zW0bPBNQHZoQ58fQsuAc0cn408m1j
[snipped some lines for assumed privacy]
iJiQoufmmGZdXFhFKW3hVxabEvfCxHqfvdMDhYh257r69AXTwsLsvXTJ6XXms9xy
LQ==
=pNoP
-----END PGP MESSAGE-----

un atacante aún podrá analizar los paquetes manualmente (aunque ni gpg --list-packets ni pgpdump ayudarán a analizar dicha información dañada sin modificar su código), y necesita cierta comprensión de RFC 4880 (y un editor hexadecimal ).

    
respondido por el Jens Erat 03.09.2015 - 21:28
fuente
3

Depende de lo que te sientas cómodo. Personalmente no hago un gran esfuerzo para ocultar mi identidad en línea. Dado que uso mi nombre real para todas mis cuentas, y he cargado mis claves gpg en los servidores de claves públicas, no son difíciles de encontrar, aquí están .

Al hacer clic en su perfil, tardé unos 10 segundos en encontrar su dirección de correo electrónico y luego las claves públicas que cargó en los servidores de claves. Este eres tú , ¿verdad?

Para ambos, cualquier información que sea tan fácil de encontrar no vale la pena ocultarla, ¿verdad? Definitivamente necesitas al menos leer lo que publicas para asegurarte de que te sientes cómodo haciéndolo público, pero mientras no publiques tu clave privada, realmente se reduce a lo que te sientes cómodo.

Si hay información que desea proteger, siempre puede redactar partes de la clave con marcadores de posición estándar y obvios:

uid Random User <[email protected]>
sig  sig3  AAAAAAA 1970-01-01 __________ 2100-01-01

y simplemente deje las partes que son relevantes para la pregunta.

    
respondido por el Mike Ounsworth 03.09.2015 - 18:04
fuente

Lea otras preguntas en las etiquetas