Security tip: Pozor na slabé PGP/GPG klíče

[Vladimir Macek]

Současné události na poli (ne)bezpečnosti šifrování nás všechny přiměly
uvažovat o řadě aspektů bezpečnosti.

Aby toho nebylo málo, dovoluju si upozornit, že se starým PGP/GPG klíčem se
to má jako se starým heslem: nezraje s věkem. :-)

Řada z nás může používat klíč, jehož šíře byla dříve v Debianu implicitní.
Pokud

    gpg --list-keys

uvádí u Vašeho klíče 1024D, bude to patrně ten případ, 1024 bitové DSA s
hashem typu SHA-1.

    Tento hash již není považován za bezpečný.
    Klíč je také krátký.
    A algoritmus mnohými považován za nedostatečně silný.

Pro současnost jsem zjistil jako nejvíce doporučovaný typ klíče

    4096 bitový RSA s SHA-2

Postup a nastavení gpg.conf například zde:

    http://keyring.debian.org/creating-key.html

Svému novému klíči jsem již nedal neomezenou platnost, vyprší po 5 letech.
Uděláte-li to stejně, nemusíte se obávat o jím podepsané e-maily: I po
vypršení budete klíč moci používat k jejich čtení.

Abych indikoval přechod, podepsal jsem nový klíč svým starým a vše nahrál
na keyservery.

Svůj starý klíč jsem v klíčence vypnul, abych ho omylem nepoužil:

    gpg --batch --edit-key <userid> disable

V ~/.gnupg/gpg.conf si upravuju 'default-key'. Podobně bylo nutné
přenastavit Enigmail u identit v Thunderbirdu.

S pozdravem,

-- 
:  Vladimir Macek  :  http://macek.sandbox.cz  :  +420 608 978 164
:  UNIX && Dev || Training  :  Python, Django  :  GPG key 97330EBD
:
: Python a bash ŠKOLENÍ: http://macek.sandbox.cz/skoleni/aktualni/