web-dev-qa-db-ja.com

コンピューターを鍵署名者に持って行かない方がいいのはなぜですか?

私は 今後のBSDカンファレンスでのキー署名パーティ のイベントの説明を見ていますが、コンピューターをイベントに持ち込むべきではないと述べられています。

持参するもの

  • コンピュータなし

コンピューターをキー署名者に持ち込むとどのようなリスクがありますか?

68
Jules

Wikipedia からの引用:

PGP鍵は通常、インターネット関連のアプリケーション用にパーソナルコンピューターで使用されますが、鍵署名者自体は通常、コンピューターを使用しません。これにより、敵対者が詐欺の機会を増やすためです。むしろ、参加者は文字と数字の文字列を書き留めます、公開鍵のフィンガープリントと呼ばれ、自分の鍵を表します。フィンガープリントは、暗号化ハッシュ関数によって作成されます。このハッシュ関数は、公開鍵をより短く、管理しやすい文字列に圧縮します。参加者は、お互いのIDを確認しながらこれらのフィンガープリントを交換します。次に、パーティーの後、彼らは受け取った指紋に対応する公開鍵を取得し、デジタル署名します。

openwest からの別のもの:

コンピュータをお持ちの場合は、バッグに入れて保管し、パーティーの際は電源を切ってください。 これは、悪意のあるソフトウェアの拡散、秘密鍵の置き忘れ、機器の損傷または置き忘れを防止するためのセキュリティ対策です

75
licklake

第一に、その発言は「コンピュータを持ち込まない」という意味ではありません。 「コンピュータを持参する必要がない」という意味です。最初のキー署名パーティーに行く多くの人は、キーがコンピューターでの使用を目的としているため、キー、署名、または暗号化ソフトウェアを含むコンピューターを持参する必要があると想定する可能性があります。実際に起こることは、鍵の検証はコンピューターなしで鍵の指紋を使用して行われ、自宅で参加者自身のコンピューターからのイベント後にオンラインデータベースに入力されることです。

第2に、コンピューターはキー署名パーティーで使用されないため、コンピューターをキー署名パーティーに連れて行くことはお勧めできません。悪意のある参加者が別の参加者のコンピューターを使用して他の参加者の署名で自分の鍵に署名したり、他の人の秘密鍵を盗んだり、マルウェアを配布したりする可能性があるためです。要するに、コンピュータはキー署名パーティに必要ではなく、それらを存在させることは、コンピュータが本質的にもたらすすべてのセキュリティリスクをもたらすことになります。これらのコンピュータにプライベート暗号化キーが含まれている可能性が高い場合、ほとんどのキー署名パーティは良い考えではありません。参加者が公開鍵の指紋を紙に書き、秘密鍵を自宅で安全に保管することを好む。

32
Micheal Johnson

ほとんどの場合、それは速度と利便性の問題です。

鍵に署名するための基本的なオプション:

  1. 両方の参加者がコンピューターを隣り合わせにセットアップし、1人は指紋を読み取り、もう1人は同時に確認を行い、その後すぐに鍵に署名します。

  2. 1人の参加者が自分のコンピュータ画面に指紋を表示し、もう1人が指紋を書き留めます。

  3. 署名者は写真付きの身分証明書と一緒に小さな紙を手渡し、署名者は紙を保持します。

方法3が他の2つよりもはるかに高速であることは明らかです。コンピュータを持ち込まないように依頼することにより、彼らは暗黙的に自分のキーの十分なコピーを持参するか、指紋のリストを配布できるように事前に登録するように求められます(ファイル内のキーが自分のものであることを確認する必要があります。最初にファイルのチェックサムを読み取ります)。

恥知らずなプラグイン:名前にASCII文字のみが含まれている場合、gpg-key2psスクリプトが役立つ場合があります。ポケットにいくつかのキースリップを入れておくことを常にお勧めします。

6
Simon Richter