パスフレーズで保護されたOpenPGP秘密鍵を公開できますか?
GnuPGを使用して4096ビットのキーペアを作成しました。
パスフレーズで保護された秘密鍵を信頼できないシステムに公開できますか?例えば。そのキーをDropboxアカウントに入れたり、メールの添付ファイルとして自分に送信したりできますか?
もちろん、パスフレーズで十分であると仮定します(20文字以上)。
暗号化された秘密鍵を信頼できないストレージに置くことと、暗号化されていないものをTrueCryptやLUKSなどの暗号化されたコンテナに置くことを比較してください。技術的には、暗号化された秘密鍵でOpenPGPメタデータが表示されることを除いて、結果はほとんど同じです。
キーは、パスフレーズを使用して暗号化するために適用された対称暗号化アルゴリズムと同じくらい安全です。一般的に、適用されるアルゴリズムは安全であると考えられています。ブルートフォース攻撃を防ぐために適度に長いパスフレーズを使用する場合、信頼されていないストレージに秘密キーを置くことは絶対に禁止されていてはなりません。
ただし、2番目のセキュリティネットを失うことに注意してください。パスフレーズが(将来いつでも)クラック/リークされるか、使用中の対称暗号化アルゴリズムに問題が見つかった場合、追加のセキュリティレイヤーが失われ、利用可能な暗号化された秘密鍵。
また、OpenPGPスマートカードを使用してコンピューター間でキーを共有すること、特に サブキープライベートプライマリキーをオフラインに保つ (通常、コンピューターに接続されていないサムドライブでも) )。キーをアップロードするかどうかに関係なく、確実にすでに 失効証明書を作成 ?
保護されたシステムがそれほど重要でない場合は、確かにそうです。どうぞ。ただし、そのキーが保護しているものは何でも、パスフレーズで効果的に置き換えられることに注意してください。金庫がキャッシュボックスに置き換えられているとしましょう。
パスフレーズが何らかの形で漏洩した場合(酔った、拷問などの結果として)は、責任を負う必要があります。
それは依存しますが、おそらくそうではありません。パスフレーズで十分な場合でも、弱いアルゴリズムまたは安全でないアルゴリズムを使用して秘密鍵を暗号化できます。
次に、キーには有効期間があると仮定する必要もあります。有効期間は、アルゴリズムを解読するために必要な期間より長くてはなりません。また、Dropboxがコピーを作成できると想定する必要があるため、キーが有効である限り、アルゴリズムは安全でなければなりません。