Importando subclave secreta a una clave

Question

Importando subclave secreta a una clave

#1 de Lery (1 votos)

0

Somos un grupo y cada miembro tiene una PGPKey independiente, pero queremos leer los mensajes cifrados para el grupo.

Creo un par con una única clave solo para el cifrado, pero no quiero compartir esta clave con todos los miembros. Quiero que esté disponible la subclave de cifrado para permitir que cada miembro descifre los mensajes cifrados para el grupo.

El problema es; No encuentro cómo importar una subclave secreta a una clave con gpg (GNUPg).

¿Es posible?

gnupg pgp

pregunta Exos 15.06.2017 - 21:37

fuente

1 respuesta

Lea otras preguntas en las etiquetas gnupg pgp

¿Correo electrónico fraudulento de PayPal? Mitigue los ataques DDoS bloqueando el tráfico aleatoriamente durante el período de proceso de detección

score 1 · Answer 1

Creo que podrías hacerlo de esa manera:

Genere su par de claves, o use su clave existente:

pub   rsa2048/E777DCBD 2017-06-16 [S]
Key fingerprint = 27F6 F30D EA60 B720 85EF  AF89 358C 5737 E777 DCBD
uid         [ultimate] Testing
sub   rsa2048/05662D7C 2017-06-16 []

A continuación, use gpg --edit keyid en esa clave y agregue la firma, etc. subclaves que desee usar la palabra clave addkey y luego save para almacenar esta subclave recién creada en el anillo de claves. (O solo use la subclave de cifrado predeterminada, y no haga nada ...) En aras del ejemplo, agregué subclaves de cifrado, firma y autenticación (usando el comando gpg --expert --edit keyid para configurar mis propias capacidades en las subclaves) mi llave maestra:
```
sec  rsa2048/E777DCBD
     created: 2017-06-16  expires: never       usage: SC  
     trust: ultimate      validity: ultimate
ssb  rsa2048/05662D7C
     created: 2017-06-16  expires: never       usage: E   
ssb  rsa2048/8D9F7D0A
     created: 2017-06-16  expires: never       usage: E   
ssb  rsa2048/4852B177
     created: 2017-06-16  expires: never       usage: A   
ssb  rsa2048/105B24A3
     created: 2017-06-16  expires: never       usage: S   
[ultimate] (1). Testing
```
Nota: cuando tienes dos subclaves de cifrado como aquí, la más reciente se usa de forma predeterminada.
Crea una copia de seguridad de toda la clave (secreta y pública) utilizando gpg --export -a keyid > commonpubkey.asc y gpg --export-secret-key -a keyid > masterseckey.asc . Allí debe tomar las precauciones habituales de PGP y copiar esos archivos en un almacenamiento seguro fuera de línea.
También es importante ahora hacer una copia de seguridad de todos tus llaveros, porque el siguiente paso lo estropeará.

Entonces, ahora solo quieres tomar una de las subclaves, así puedes: gpg --edit keyid y eliminar todas las subclaves que no quieras compartir (para hacerlo, primero debes marcarlas con key n y elimínelos con delkey ) y save :

sec  rsa2048/E777DCBD
     created: 2017-06-16  expires: never       usage: SC  
     trust: ultimate      validity: ultimate
ssb  rsa2048/8D9F7D0A
     created: 2017-06-16  expires: never       usage: E   
[ultimate] (1). Testing

Finalmente, el magic gpg --export-secret-subkeys -a keyid > sharedseckey.asc le permitirá exportar solo la subclave restante, sin ningún otro material clave de la clave principal.

Para que finalmente puedas restaurar tus llaveros (necesitarás restaurar tanto el secreto como el público, porque cuando eliminas una subclave, también eliminas tu subclave pública), y estás de nuevo en posesión de la clave completa. con todas las subclaves y material clave adecuado.

El siguiente paso es para tus colegas:

En su máquina, necesitan hacer un gpg --import commonpubkey.asc commonseckey.asc (con esos dos archivos que generaste anteriormente).

Et voilà , todos están listos para usar gpg.

Para verificar que sus colegas realmente no tienen ninguna clave secreta que no quiere que tengan, mire la salida de gpg --list-secret-keys , verá que esta clave sin la clave secreta principal está marcada con un '#':

sec#  rsa2048/E777DCBD 2017-06-16 [SC]
uid         [ unknown] Testing
ssb   rsa2048/05662D7C 2017-06-16 [E]
ssb   rsa2048/8D9F7D0A 2017-06-16 [E]
ssb   rsa2048/4852B177 2017-06-16 [A]
ssb   rsa2048/105B24A3 2017-06-16 [S]

Tampoco podrán firmar ni autenticarse ya que no tendrán esas subclaves, pero si firmas algo con tu clave, la clave común de publicación todavía será capaz de verificarlo.

Al final, no importarán la subclave, sino toda la clave, pero sin el material de clave principal, con solo el material de clave de la subclave de cifrado que habrá dejado allí. Pero este es el camino a seguir, en lugar de intentar agregar esta subclave de cifrado común a su propia clave, ya que entonces significaría que cuando cifre algo para ellos, lo habrá cifrado para todo el grupo, ya que la subclave de cifrado más nueva de se usa una clave pública de manera predeterminada para cifrar por gpg ...

Así que realmente no quieres que importen la subclave, quieres que importen la clave secreta, con el mínimo de material de clave.