Como restringir os sinalizadores de uso para pares de chaves primários em certificados OpenPGP?

Navegue suas respostas
5

Mais de uma vez li (mesmo para manter a chave privada armazenada em um PC não habilitado para rede) segurança adicional). Recentemente notei que cada par de chaves no meu certificado tem sinalizadores que definem com que finalidade ele deve ser usado exclusivamente. Tanto quanto eu entendo atualmente (tendo problemas para encontrar a documentação), o processo de assinatura de pares de subchaves seria representado por A (para autenticação).

Em meu certificado recém-gerado, meu par de chaves primário possui os sinalizadores de uso SC (assinatura e certificação). Agora é muito fácil alterar esses flags para sub-chaves com a ferramenta de linha de comando do GnuPG, mas não consigo encontrar nenhuma maneira de modificar os flags de uso para o par de chaves primário.

O que eu gostaria de poder fazer é limitar o par de chaves primário para poder assinar e revogar pares de subchaves adicionais no meu certificado. Alguém pode me dizer se isso é possível e como fazê-lo?

    
por aef 07.09.2013 / 17:58

2 respostas

6

Você precisaria do sinalizador de uso para certificar C , que é exigido pelas especificações do OpenPGP de qualquer maneira. A autenticação A é raramente usada e significa que você pode se autenticar (semelhante à autenticação baseada em chave SSH).

No entanto, não é possível alterar os flags de uso no GnuPG (mas cortando o código ). De uma mensagem do Resul Cetin nesse tópico da lista de discussão:

Ok, it was quite easy to do (not clean, but it could be done in a fast and hackish way). Just searched for gnupg-1.4.9/g10/getkey.c:parse_key_usage and changed p to non-const and always set (*p) &=~2;. Afterwards I started my new compiled hackish-gpg --edit-key and set the expire of my master key. After this procedure I had only the Cert flag set. Thanks Christoph - you are my personal hero of the day :)

    
por 09.09.2013 / 14:47
2

Para mudar uma chave mestra existente, o tópico do gnupg-users que Jens citou abrange a única maneira que vi de fazer isso.

Para definir a chave mestra para apenas certificar quando ela é criada é um pouco mais fácil: 

bash-3.2$ gpg --gen-key --expert
Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
Your selection? 8

Possible actions for a RSA key: Sign Certify Encrypt Authenticate 
Current allowed actions: Sign Certify Encrypt 

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? s

Possible actions for a RSA key: Sign Certify Encrypt Authenticate 
Current allowed actions: Certify Encrypt 

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? e

Possible actions for a RSA key: Sign Certify Encrypt Authenticate 
Current allowed actions: Certify 

   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection? q
RSA keys may be between 1024 and 16384 bits long.
What keysize do you want? (2048)   C-c C-c
gpg: Interrupt caught ... exiting

bash-3.2$

No entanto, você precisará criar as subchaves manualmente usando o comando gpg --edit-key posteriormente.

    
por 24.09.2013 / 01:19

Tags

O desempenho do sistema de arquivos pode diminuir se houver um número muito grande de arquivos em um único diretório (NTFS)? screen - move o cursor para o início da linha