Gregory's Server
Если хочется использовать #PGP & #GPG / #GnuPG долгое время, то ключей нужно иметь сразу несколько: «основной» и «временные» ключи.
«Основной» ключ используется только для заверения «временных» ключей.
Срок жизни, использования, «временных» ключей может быть несколько недель, месяцев или год-два. Вся переписка и заверение коммитов на github'ах или публикаций — всё это через «временные» ключи.
«Основной» ключ может быть создан в связке ключей с указанием таких параметров/атрибутов, что само GPG не сможет использовать его ни для чего, кроме заверения «временных» ключей.
Хранение ключей
На повседневно используемых компьютерах связка PGP-ключей не содержит секретную часть «основного» ключа, т.е. на ней имеются публичные и секретные части лишь «временных» ключей и только лишь публичная часть «основного» ключа.
Соответственно, используется две связки ключей — хранится отдельно ото всего та из них, на которой присутствует секретная часть «основного» ключа. И используется лишь тогда, когда необходимо выполнить заверение нового «временного» ключа (или же добавить дополнительный идентификатор пользователя — имя, адрес e-mail). После чего эта связка ключей убирается в долгий ящик, надёжное место, несгораемый сейф и т.д. и т.п
У людей упоротых/прошаренных/одарённых эта отключаемая связка ключей не только хранится на отдельном носителе, но и подключается/используется для заверения ключей лишь на каком-нибудь стареньком ноутбуке. Физически находящегося постоянно лишь в offline, т.е. с отключёнными сетевыми картами и Bluetooth-адаптерами.
WOT (Web of trust)
Всякие подписи и заверения от других людей получаются на «основной» ключ, публичная часть которого всегда известна и лежит на серверах ключей вместе с публичными частями «временных» ключей. Это взаимосвязанные целое — много людей заверило публичную часть «основного» ключа и эти все подписи видны, а эта «временные» ключи заверены подписью, что проверяется посредством «публичной» части «».
Отсутствует «perfect forward secrecy»
Именно эта схема обращения с ключами изрядно всех утомила, но #PFS стал восприниматься как обязательное требование к современным система сквозного шифрования переписки.
Потому, вместо использования #OpenPGP стали появляться такие вещи как:
Однако, потребность в PFS касается лишь защиты переписки, а не таких вещей как подписывание коммитов с патчами или же заверение подписью софта распространяемого через всякие репозитории. В этой сфере OpenPGP остаётся одним из наиболее разумных и надёжных решений.
#crypto #криптография #lang_ru @Russia
«Основной» ключ используется только для заверения «временных» ключей.
Срок жизни, использования, «временных» ключей может быть несколько недель, месяцев или год-два. Вся переписка и заверение коммитов на github'ах или публикаций — всё это через «временные» ключи.
«Основной» ключ может быть создан в связке ключей с указанием таких параметров/атрибутов, что само GPG не сможет использовать его ни для чего, кроме заверения «временных» ключей.
Хранение ключей
На повседневно используемых компьютерах связка PGP-ключей не содержит секретную часть «основного» ключа, т.е. на ней имеются публичные и секретные части лишь «временных» ключей и только лишь публичная часть «основного» ключа.
Соответственно, используется две связки ключей — хранится отдельно ото всего та из них, на которой присутствует секретная часть «основного» ключа. И используется лишь тогда, когда необходимо выполнить заверение нового «временного» ключа (или же добавить дополнительный идентификатор пользователя — имя, адрес e-mail). После чего эта связка ключей убирается в долгий ящик, надёжное место, несгораемый сейф и т.д. и т.п
У людей упоротых/прошаренных/одарённых эта отключаемая связка ключей не только хранится на отдельном носителе, но и подключается/используется для заверения ключей лишь на каком-нибудь стареньком ноутбуке. Физически находящегося постоянно лишь в offline, т.е. с отключёнными сетевыми картами и Bluetooth-адаптерами.
WOT (Web of trust)
Всякие подписи и заверения от других людей получаются на «основной» ключ, публичная часть которого всегда известна и лежит на серверах ключей вместе с публичными частями «временных» ключей. Это взаимосвязанные целое — много людей заверило публичную часть «основного» ключа и эти все подписи видны, а эта «временные» ключи заверены подписью, что проверяется посредством «публичной» части «».
Отсутствует «perfect forward secrecy»
Именно эта схема обращения с ключами изрядно всех утомила, но #PFS стал восприниматься как обязательное требование к современным система сквозного шифрования переписки.
Потому, вместо использования #OpenPGP стали появляться такие вещи как:
- #OTR («всего» три версии и поддержка во многих мессенджерах)
- и позднее #OMEMO (адоптация для #XMPP популярного протокола #Signal Messenger, того самого что расползя повсеместно: WhatsApp, Viber, Skype, Google Duo & etc. )
Однако, потребность в PFS касается лишь защиты переписки, а не таких вещей как подписывание коммитов с патчами или же заверение подписью софта распространяемого через всякие репозитории. В этой сфере OpenPGP остаётся одним из наиболее разумных и надёжных решений.
#crypto #криптография #lang_ru @Russia