У меня есть старый PGP, использующий старый алгоритм GnuPG по умолчанию. Согласно Best алгоритм шифрования и подписи для GnuPG: RSA/RSA или DSA/Elgamal? эти настройки алгоритма больше не являются достаточными, поэтому я хочу переместить ключ PGP в более безопасные настройки алгоритма. Каков наилучший способ сделать это? Должен ли я отозвать свой ключ и создать совершенно новый ключ?
1 ответ
8
Нет способа "обновить" ключ OpenPGP. Вам придется создать новый, и вы потеряете свою репутацию в сети доверия.
Некоторые люди, которых я встретил, решили придерживаться первичного ключа RSA 1024, но вместо этого используют более сильные подразделы (что легко возможно без потери репутации в сети доверия), что обеспечивает безопасное повседневное использование (для шифрования / подписывания). документы с вашими подразделами), но могут позволить злоумышленникам добавлять и отзывать сертификаты, подразделы и UID.
Подумать о:
- Подписание вашего нового ключа со старым, чтобы другие могли следовать подписи
- Отправка ключевого оператора перехода (кажется, нет, альтернативная ссылка на archive.org) тем, кто подписал ваш старый ключ; некоторые из них могут также подписать ваш новый
- Получение вашего нового ключа подписано, т.е. перейдите к сторонам подписи ключей
- Отмена старого через некоторое время
- Использование на первый взгляд ненужного большого ключа в качестве первичного ключа и меньших подключей для повседневного использования. Вам никогда не понадобится первичный ключ для чего-либо, кроме подписи других ключей (что редко) и других, проверяющих ваши подписи (которые в любом случае дешевы).