it-swarm-korea.com

GnuPG / OpenPGP 주요 사례

GnuPG (gpg) 모범 사례에 대한 정보를 찾고 있습니다. gnupg-users 메일 링리스트에서 일부 논의되었지만 가능한 한 다양한 견해를 얻고 싶었으므로 SE의 전문가에게 주제를 가져갈 생각이었습니다.

이메일 계정을 전환하는 중이며 GPG 키를 전환하는 것이 좋은시기라고 생각했습니다. 현재 서명, 인증 및 암호화에 모두 사용되는 RSA-4k 키가 있습니다.

현재 생각하는 것은 인증 전용 기본 키로 새 키를 생성하여 오프라인으로 유지하고 매일 사용하기 위해 별도의 암호화 및 서명 하위 키를 생성하는 것입니다. 그래야 내 데이터를 보호하면서 Web of Trust가 가장 잘 성장할 수 있다고 생각합니다. 또한 암호화와 서명을 분리하여 하나의 키를 넘겨야합니다.

내가 고려하지 않은 장단점이 있습니까? 스마트 카드를 사용하기로 결정한 경우 RSA3k를 사용하는 것이 더 낫습니까?

18
David

이론상, 당신이 상상하는 것은 "올바른 방법"입니다 : 실제로 사용할 키를 인증하거나 취소 할 때만 사용되는 가장 안전한 기본 키입니다. 그러나 실제로 해지가 제대로 작동하지 않습니다. 이미 이메일을 교환 한 사람은 공개 키의 사본을 보관하고 해지 사실을 자동으로 알리지 않습니다.

암호화 키와 서명 키에 대해 별개의 저장 절차를 원할 수 있습니다. 암호화 개인 키 (예 : 하드 디스크 충돌)를 잃어버린 경우 이미받은 이메일을 포함하여 수신 이메일을 더 이상 해독 할 수 없습니다. 따라서 암호화 키는 어딘가에 백업해야합니다. 반면에 서명 키는 not 어디에서나 백업되어야합니다. 확인 가능한 서명.

4096 비트 또는 심지어 3072 비트는 RSA, DSA 또는 ElGamal에 과잉입니다. 2048 비트는 이미 지구 기반 기술을 사용하는 공격자에 대한 보안을 보장하기에 충분합니다. 더 긴 키가 "보다 안전하다"는 것은 미래의 알려지지 않은 공격이 어떻게 보일지에 대한 순수한 추측이며, 어떻게 보이는지 알면 알려지지 않을 것입니다.

9
Thomas Pornin

일반적으로 S/MIME은 오늘날 널리 사용되는 모든 이메일 클라이언트에 통합되어 있으므로 사람들은 GnuPG 대신 S/MIME을 사용하는 것이 좋습니다. 그러나 완전히 분명하지 않은 이유로 많은 사람들이 이메일 보안을 위해 GnuPG 사용을 계속 주장하고 있습니다. (소스 코드 배포에 서명하는 데 사용하지만 그에 관한 것입니다.)

그러나 모범 사례를 요청 했으므로 다음과 같습니다.

  • 다른 키에 서명하기위한 큰 기본 키를 작성하십시오. 이 키를 사용하여 다른 키에 서명하십시오.

  • 키에 대한 해지 인증서를 만들어 오프라인에 저장하십시오. 당신이 당신의 개인 키를 잃어버린 경우이 방법으로 그들을 가질 수 있습니다.

  • GnuPG 플러그인을 설치하고 키를 서명하기 위해 메일을 교환 할 수있는 모든 사람을 설득하십시오. (키를 얻는 사람과의 관계를 공개적으로 문서화했기 때문에 이제 당황합니다.)

  • 키를 키 서버에 업로드하십시오. (다른 사람이 귀하의 이메일 주소로 키를 업로드하지 않기를 바랍니다.)

위에서 읽으면 GnuPG 모델에 대한 두 가지 불만 사항이 더 있습니다 .-- 개인 정보가 유출되고 (친구가 누군지) 키 서버 모델이 손상되었습니다.

행운을 빕니다.

6
vy32