Planeo crear un par de claves RSA & RSA de 4096 bits:
gpg --gen-key --personal-digest-preferences SHA512 --cert-digest-algo SHA512
¿Hay alguna diferencia en la calidad de la clave generada entre las versiones 1.4 (clásica), 2.0 (estable) y 2.1 (moderna)?
Antecedentes: considero que crear la clave en un inicio limpio Sistema en vivo estable de Debian , y eso viene con GnuPG versión 1.4.12.
Todas las versiones de GnuPG mencionadas se mantienen (a partir de 2015) y se mantienen actualizadas. Las diferencias son principalmente de tipo arquitectónico; se propone utilizar classic (1.4) dentro de para servidor y plataformas integradas (de man gpg2 ), mientras que estable y moderno se recomiendan para uso de escritorio (tienen más dependencias, pero son más modulares y flexibles) . GnuPG 2.1 se basa en gran medida en el gpg-agent para todas las operaciones que requieren la clave secreta, que delega las operaciones más riesgosas a un software mucho más pequeño con menos exposición a vulnerabilidades.
Las claves creadas con todas esas versiones son igualmente seguras, y pueden intercambiarse arbitrariamente con las otras versiones (importando / exportando). No se conocen vulnerabilidades con respecto a la generación de claves en todas esas versiones.
Además, si bien 1.4.12 es aparentemente desactualizado ya que 1.4.14 se ha publicado la resolución de problemas críticos , Debian respalda la seguridad relevante Parches a versiones anteriores para mantener los paquetes estables. También puede tener GnuPG 2 disponible (como gpg2 , de lo contrario, instale usando apt-get update && apt-get upgrade gnupg2 ). GnuPG 2.1 requeriría agregar los repositorios experimentales (que podrían cambiar en el futuro, supongo para Debian 9). Puede consultar qué versión de GnuPG 2 está disponible en qué repositorio en Rastreador de paquetes de Debian .
Si está utilizando un CD en vivo, tenga en cuenta que el grupo de entropía se reinicializa cada vez que lo inicia. Puede tomar un poco más de tiempo hasta que el kernel decida tener suficiente entropía para GnuPG, y la generación de claves puede tardar un poco más de lo normal (solo más tiempo, no menos seguro).
Lea otras preguntas en las etiquetas linux key-generation gnupg pgp rsa