Security tip: Pozor na slabé PGP/GPG klíče
Vladimir Macek
macek na sandbox.cz
Pátek Květen 2 17:25:48 CEST 2014
Současné události na poli (ne)bezpečnosti šifrování nás všechny přiměly
uvažovat o řadě aspektů bezpečnosti.
Aby toho nebylo málo, dovoluju si upozornit, že se starým PGP/GPG klíčem se
to má jako se starým heslem: nezraje s věkem. :-)
Řada z nás může používat klíč, jehož šíře byla dříve v Debianu implicitní.
Pokud
gpg --list-keys
uvádí u Vašeho klíče 1024D, bude to patrně ten případ, 1024 bitové DSA s
hashem typu SHA-1.
Tento hash již není považován za bezpečný.
Klíč je také krátký.
A algoritmus mnohými považován za nedostatečně silný.
Pro současnost jsem zjistil jako nejvíce doporučovaný typ klíče
4096 bitový RSA s SHA-2
Postup a nastavení gpg.conf například zde:
http://keyring.debian.org/creating-key.html
Svému novému klíči jsem již nedal neomezenou platnost, vyprší po 5 letech.
Uděláte-li to stejně, nemusíte se obávat o jím podepsané e-maily: I po
vypršení budete klíč moci používat k jejich čtení.
Abych indikoval přechod, podepsal jsem nový klíč svým starým a vše nahrál
na keyservery.
Svůj starý klíč jsem v klíčence vypnul, abych ho omylem nepoužil:
gpg --batch --edit-key <userid> disable
V ~/.gnupg/gpg.conf si upravuju 'default-key'. Podobně bylo nutné
přenastavit Enigmail u identit v Thunderbirdu.
S pozdravem,
--
: Vladimir Macek : http://macek.sandbox.cz : +420 608 978 164
: UNIX && Dev || Training : Python, Django : GPG key 97330EBD
:
: Python a bash ŠKOLENÍ: http://macek.sandbox.cz/skoleni/aktualni/
Další informace o konferenci Linux