web-dev-qa-db-ja.com

新しいGPGキーに切り替える準備-古いものをどうするか?

署名/認証マスターキーと2つのサブキー(署名用と暗号化用)を備えた新しいオフラインGPGキーを作成しました。マスターは5年間、サブメンバーは2年間有効。私のマスターキーはUIDとして私の名前とdobだけを取得しました...サブキー(?)は5つのUIDを取得し、私の名前と電子メールのペアを含みます。

ところで、UIDは1つのサブキー、すべてのサブキー、マスター、またはチェーン全体に関連付けられていますか? 1つのIDを1つの特定のサブキーに接続することは可能ですか?ソフトウェアパッケージの署名に使用されるサブキーonly、およびこれを反映するUID ...または、この目的のために別のキーを作成し、通常の(上記の)キーで署名/相互署名する方が良いですか?

また、キーサーバーにアップロードされた古いキーがいくつかあります。これらのキーを取り消したいのですが。

+++

正しく理解できたら、新しい(オフライン)キーに古いキーで署名し、新しいキーが自分のものであることを証明する必要があります...

しかし、新しいキーを使用して古いキーに署名し、それらをキーサーバーにアップロードする必要がありますか?

最後に、最新のキーを除くすべてを取り消します...メインキーを取り消すだけで十分ですか、それともすべてのサブキーも取り消す必要がありますか(該当する場合)?

変更したキーをキーサーバーにアップロードする前に、これらすべてをローカルで実行できますか?または、署名付きの新しいキーをアップロードするときに、それらをすでに失効しているという事実が問題になりますか?
私の推奨ワークフロー:新しいキーを作成し、古いキーで新しいキーに署名し、古いキーにnew(?)で署名し、古いキーを取り消し、すべてのキーをサーバーに更新します。

ところで、暗号化と署名用のサブキーを含むオフラインキーがある場合...署名サブキーを使用してファイルとメッセージに署名します...そして、完全なキーを使用する必要があります)自分のマスターキーを使用して自分のキーの変更に自己署名するには...しかし、他の人のキーはどうですか?署名サブキーを使用して彼らのキーに署名できますか?またはマスターキー(完全なキー)を使用する必要がありますか?両方を実行できますが、1つをお勧めしますか?

key-managementgnupgkey-generation
8
Baard Kopperud

コメント応答をありがとう、それは少し助けました。

これらは一般的な推奨事項であるYMMVであり、いつでも自分のニーズに合わせて調整できます。これは、開始するための適切な場所であり、心に留めておくべきことですが、適切なセキュリティ態勢は個人的な努力であり、万能ではありません。

まず、古いキーで新しいキーに署名しないでください。以前に古いキーを使用したことがない場合は、既存の信頼チェーンがないため、何かに署名するためにそれを使用しても、IDアサーションに(存在する場合は)重要度が高くなりません。そして、古いキーを取り消すと(次のステップ)、行われたすべての要求にゼロの重みが追加されます。これは、新しいキーが詐欺ではないことを他の人々に保証するのに役立つので、古いキーが以前に使用されている場合にのみ役立ちます(彼らは古いキーを信頼し、新しいキーを信頼するように指示します)

注:「キー」と言うときはいつでも、「メインキー」と呼んでいるように見えるのと同じことを意味します。 「キー」の用途固有の子孫について話すときは「サブキー」を指定します。

次に、古いキーを取り消します。必ず理由を取り消しに入れ(理由は「使用されなくなった」または「置き換えられた」)、新しいキーIDを含む説明を入力してください「ロジスティックのためにキーが交換されました理由、新しいKeyIDは12BC-A29Dです。」失効証明書を作成したら、それを公開鍵サーバーに公開します(実際には、MITに送信するだけで、そこから作成されます)。これにより、古いキーがオフになります。あなたはそれを取り消し、それをパブリックサーバーで未使用としてリストしました(ヒントと、新しいキーを検索/検証する方法を含む)。この時点で、古い鍵を完全に忘れることができます。

常に記憶する::公開鍵サーバーから鍵を削除するときは、失効証明書を発行してサーバーに送信する必要があります。一部のサーバーに「このキーを削除」フィールドが含まれていても、横になっていると完全に削除されません。以前に公開されたキーを本当にキャンセルする唯一の方法は、取り消しを発行することです。

今、あなたの新しいキーに移ります。

ここからまともなスタートを切ることができます。通常の推奨事項は次のとおりです。

  1. キーを時間制限付きにします。

通常、これによりキーの有効期限は1年(13か月を使用)になります。その後、毎年メンテナンスを行い、その間、有効期限を延長し、更新されたキーを公開サーバーに送信します。これにより、紛失したキーや未使用のキーに対する保護が提供されます。定期的に更新しない限り、キーは自動的に期限切れになります。

  1. 失効証明書を事前に作成する

これは損失の場合です。一般的な推奨事項は、新しいキーを作成した直後(公開サーバーに送信する前であっても)に、「理由なし」または「キーが危険にさらされた」失効証明書を作成することです。次に、この証明書を印刷して(私はOCRフォントを強くお勧めします)、物理的に安全な保管場所(自宅の金庫、銀行預金ボックス)に捨てます。この場所には、元の出生証明書などの重要で交換が難しいドキュメントを保管します。または元の社会保障カードとパスポート)。キーの制御が失われるような事態が発生した場合でも、キーを取り消す方法はあります。それはそれが本当に良い場合に備えてアイテムになります。

  1. サブキーについて心配する必要はありません

サブキーを使用しないと言っているのではありません。私はあなたがそれをすべて処理する、よくできたPGP実装(私はOSに関係なく、すべてのマシンにGPGを持っています)を使用していると言っています。サブキーIDまたはサブキーの証明と管理に関していくつかのポイントを挙げますが、これらは設計と実装の側で心配する必要があることですが、エンドユーザーが心配する必要はありません。 GPGソフトウェアによってキーペアが作成され、(ユーザーの指示により)特定の目的のために管理されたサブキーのセットが作成されました。 GPGを使用して何かに署名すると、自動的に適切なサブキーが使用されます。暗号化と認証についても同じです(認証キーを作成し、それを使用するものがある場合)。 PGPのしくみを詳しく知りたい場合は、それは全体的に深い池ですが、それを使用するだけで心配する必要があるのは、GPGの「キー」(マスターとして参照しているように見えるもの)だけです。残りはソフトウェアが処理します。

  1. あなたの鍵あなたです

そのPGP鍵がIDソースとして活用されるようになりました。人々は、署名をチェックするだけで、あなたが何かをしたことを確認できます。完全に別のキーを作成して、水を濁らせないでください。必要に応じて、既存のキーにさらにユーザーIDを追加できます(新しい電子メールアドレスを取得する場合、または携帯する新しいペルソナを証明する必要がある場合に便利です)。何かに署名したい場合は、yourキーの署名サブキーを使用します。それがサブキーの完全な理由です。マスターIDが6742F54F27B19AC2のPGPキーによって処理されたものを受け取った場合、それは私からのものであることがわかります。キーはあなたです。IDを複数のキーに分割するのではなく、出生証明書とパスポートを保護するのと同じくらい厳しくキーを保護してください。保護は、パスコードをPGPキーに追加すること(GPGから作成するように指示されたはずですが、作成しないように選択することもできます)からスマートカードへの秘密キーコンポーネントのオフロード(私はYubiKeyでこれを行います)までさまざまです。あなたにその多要素と物理的所有の安全策を与えるため;これは「個人的にあなたにとって何がベストか」というアイテムの非常に多くのものです。

[〜#〜] tldr [〜#〜]-古いキーで新しいキーに署名しないでください。古いキーの失効証明書を発行し、それを公開サーバーに送信します。新しいキーに有効期限があることを確認してください。有効期限が切れないようにして、定期的に延長することができます。使用するサブキーを手動で管理する必要はありません。異なる目的で2番目(または3番目)のキーを作成しないでください。 IDを盗むのに十分な情報であるかのように、キーを保護してください(それが原因で)。

7
Ruscal