Должен ли я использовать подраздел gpg для работы (не настолько безопасной) среды?

Я пытаюсь использовать gpg для шифрования и подписи сообщений, но я использую разные компьютеры (рабочий стол, ноутбук, офис), поэтому я не уверен, как управлять закрытыми ключами в этих средах.

должен ли я использовать копию закрытого ключа на каждом компьютере или, возможно, мне придется использовать разные под-ключи для каждой среды. Это вообще возможно / рекомендуется?

обновление

должен ли я использовать --export-secret-subkeys экспортировать мой личный ключ в рабочую среду без ущерба для мастер-ключ? Могу ли я использовать другую парольную фразу для разных ключей / сред?

2
задан eloyesp
27.11.2022 6:07 Количество просмотров материала 3513
Распечатать страницу

2 ответа

Вы ключ PGP на самом деле содержит больше, чем просто мастер-ключ (используется для подписи других ключей и собственных подразделов, и то, что на самом деле подписывается другими пользователями): один подраздел для подписи сообщений (необязательно, обычно это сам мастер-ключ, но не обязательно) и один для шифрования содержимого. Более подробная информация о Вики и GNU Privacy Handbook.

Так... Мастер-ключ можно хранить только на защищенном устройстве, что позволяет ключи подписи и шифрования без необходимости проверки и подписания новых ключей коллегами. Сохраняя мастер-ключ в безопасном месте, можно создать более эффективную политику ротации ключей, не создавая слишком много работы для других пользователей. Кроме того, даже подозреваемый или подтвержденный лук-порей секретного материала subkey вы можете отменить их без особых хлопот.

I лично используйте два подраздела setup (также проверьте этой вопрос), не только держать мастерский ключ разумно безопасный, но также потому, что я использую разные размеры ключей: главный ключ имеет 4096 бит, подразделы подписи и шифрования имеют только 3072 бита.


с другой стороны, если окружение не сильно перекрывается, то лучше использовать совершенно другие PGP ключи, что значительно минимизирует ущерб от любой возможной уязвимости.

кроме того, вы можете (должны) использовать очень длинные случайные парольные фразы для ключей на наименее защищенных устройствах.

2
отвечен Jonas Malaco 2022-11-28 13:55

нет способа прикрепить подраздел к определенному идентификатору пользователя. Нет даже способа определить какие-либо предпочтения, на которых другие подразделы должны использовать для шифрования; большинство реализаций будет просто использовать новейший.

Если вы хотите подписывать только, используйте несколько подразделов (если есть только один подраздел для подписи, этот будет выбран). Если вы хотите получать зашифрованную почту,

  • либо использовать один ключ шифрования (sub), который вы будете обмениваться, если требуется (обмен подразделами дешево и легко) или
  • используйте несколько первичных ключей для разных мест/"ролей", например, частных и рабочих.
0
отвечен Jens Erat 2022-11-28 16:12

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх