PGP Key Version, isso importa?

Navegue suas respostas
2

Após lermos sobre a tentativa do Google de criptografia de ponta a ponta com as chaves PGP, percebi em seu FAQ uma seção sobre a exportação de uma chave gerada por sua extensão para uso em outro lugar. Eles dizem que é possível, mas que requer o GnuPG 2.1+ onde quer que você o use.

Eu estava rodando 12.04 LTS no momento em que eu gerava o meu e minha versão do gpg era 1.4.x, isso significa que não posso importar minha chave para uma ferramenta que usa 2.x?

    
por Brian 04.06.2014 / 14:46

3 respostas

2

O plug-in de criptografia de ponta a ponta do Google faz uso da criptografia de curva elíptica, que não é suportada, mas da versão 2.1 do GnuPG (e esta ainda é uma versão de desenvolvimento).

Mas você pode fazer o contrário e criar localmente uma chave RSA "normal", que pode ser importada para o plug-in do Google.

De qualquer forma: como a chave permanece no plug-in, você não está dando a chave privada ao Google, mas ela ainda pode ser usada para operações arbitrárias sem que você saiba. O que é executado dentro de um navegador da Web está sob o controle do proprietário do site, não do seu. Melhor usar um cliente de email (por exemplo, Thunderbird) com um addon GnuPG (por exemplo, Enigmail) e configurá-lo para usar sua conta do Gmail - mais conforto, mais segurança, melhor privacidade.

Apenas para o texto: a versão da chave OpenPGP está em ambos os casos v4, mas as curvas elípticas são um algoritmo de criptografia bastante novo ainda não suportado pelas versões estáveis do GnuPG.

    
por Jens Erat 04.06.2014 / 15:43
2

É isso mesmo, se você tem uma chave gerada em End-To-End e quer usá-la no GnuPG, você tem que usar a versão 2.1, que ainda não foi lançada oficialmente (ainda em versão beta). Você pode procurar por repositórios de terceiros que os fornecem ou compilá-los por conta própria.

    
por fkraiem 04.06.2014 / 15:02
0

A versão chave é importante ... Presumo que o Brian quis dizer o GnuPG 2.0. O GnuPG 2.1 não está empacotado para o Ubuntu ou Debian ainda como ainda está em beta. Um dos novos recursos será a inclusão de chaves EC25519, que podem não ser importantes para a maioria de nós, mas oferece alguns aumentos significativos no desempenho.

E outras coisas também são importantes. Por exemplo, os padrões usam um hash SHA1 e ele deve ser alterado porque ele tem fraquezas conhecidas, mas não está completamente quebrado, como RC4 e talvez MD5. Eu recomendo gerar novas chaves usando um hash mais strong. Veja: link

Quando eu testar o End to End do Google, terei, como parte da minha política pessoal de PGP, apenas a subchave do sistema. Dessa forma, posso reter assinaturas de chaves revogando ou expirando a subchave e gerando uma nova. Veja: link

Devo observar que o processo de gerenciamento de chaves e subchaves poderia usar algumas melhorias significativas em termos de usabilidade. E o processo de consertar suas chaves se você as gerou com hashes SHA1 é ainda menos divertido ...

    
por Chuck 21.09.2014 / 09:55
tomcat7 server - não é possível instalar no Eclipse Kepler? Como o Rhythmbox poderia lidar com álbuns de discos múltiplos?