web-dev-qa-db-ja.com

鍵の生成:GnuPGクラシック、安定、モダンの違いは?

4096ビットのRSA&RSAキーペアを作成する予定です。

gpg --gen-key --personal-digest-preferences SHA512 --cert-digest-algo SHA512

バージョン1.4(クラシック)、2.0(安定版)、および2.1(モダン)の間で生成される鍵の品質に違いはありますか?

背景:クリーンにブートした Debian stable live system にキーを作成することを検討しています。これはGnuPGバージョン1.4.12に付属しています。

6
feklee

異なるバージョンのGnuPG

言及されているGnuPGのすべてのバージョンは(2015年の時点で)引き続き維持および更新されています。違いは主に建築の種類です。クラシック(1.4)はサーバーおよび組み込みプラットフォームの場合man gpg2から)内での使用が提案されていますが、デスクトップでの使用には安定して最新のものをお勧めします(依存関係は多いが、モジュール性が高く、フレキシブル)。 GnuPG 2.1は、秘密鍵を必要とするすべての操作でgpg-agentに大きく依存しています。これにより、最もリスクの高い操作が、脆弱性にさらされる可能性の少ないはるかに小さなソフトウェアに委任されます。

これらのすべてのバージョンで作成されたキーは同等に安全であり、他のバージョンと任意に(インポート/エクスポートにより)交換できます。これらのすべてのバージョンでのキー生成に関する既知の脆弱性はありません。

GnuPG 1.4.12(一見)古い

また、1.4.12は 重要な問題を解決する1.4.14として公開されているようですが ですが、Debianは関連するセキュリティパッチを古いバージョンにバックポートして、パッケージを安定させています。 GnuPG 2を使用できる場合もあります(gpg2として、それ以外の場合はapt-get update && apt-get upgrade gnupg2を使用してインストール)。 GnuPG 2.1では、実験的なリポジトリを追加する必要があります(将来変更される可能性があります。Debian9の場合はそうでしょう)。 Debianのパッケージトラッカー のどのリポジトリでどのGnuPG 2バージョンが利用可能かを調べることができます。

ライブCDによるエントロピー

ライブCDを使用している場合は、エントロピープールをブートするたびに再初期化されることに注意してください。カーネルがGnuPGに十分なエントロピーを持っていると判断するまでに少し時間がかかる場合があり、キーの生成に通常よりも少し時間がかかる場合があります(ただ長く、安全性は低くありません)。

4
Jens Erat