Версия ключа PGP, это имеет значение?
После прочтения попытки Google использовать сквозное шифрование с ключами PGP, я заметил в их FAQ раздел об экспорте ключа, сгенерированного их расширением, для использования в другом месте. Они говорят, что это возможно, но для этого требуется GnuPG 2.1+, где бы вы его не использовали.
Я работал с 12.04 LTS в то время, когда создавал свою, и поэтому моя версия gpg была 1.4.x, значит ли это, что я не могу импортировать свой ключ в инструмент, использующий 2.x?
3 ответа
Сквозной плагин шифрования Google использует шифрование эллиптической кривой, которое не поддерживается, но от версии 2.1 GnuPG (и это - все еще версия разработки).
Но можно пойти наоборот и локально создать "нормальный" ключ RSA, который можно затем импортировать к плагину Google.
Так или иначе: поскольку ключ остается в плагине, Вы, по крайней мере, не даете закрытый ключ Google, но они все еще могут использовать его для произвольных операций без Вас знающий это. То, что работает в веб-браузере, находится под контролем владельца веб-сайта, не Вашего. Лучше используйте почтовый клиент (например, Thunderbird) с дополнением GnuPG (например, Enigmail) и настройте его для использования учетной записи Gmail – больше комфорта, больше безопасности, лучшей конфиденциальности.
Только для формулировки: версия ключа OpenPGP в обоих случаях v4, но эллиптические кривые являются довольно новым алгоритмом шифрования, не поддерживаемым все же стабильными версиями GnuPG.
Правильно, если Вам генерировали ключ в Сквозном и хотите использовать его в GnuPG, необходимо использовать версию 2.1, которая еще официально не выпущена (все еще в бета-версии). Можно или искать сторонние репозитории, которые обеспечивают его или компилируют его сами.
Ключевые вопросы версии... Я предполагаю, что Brian означал говорить GnuPG 2.0. GnuPG 2.1 еще не упаковывается для Ubuntu или Debian, как это все еще в бета-версии. Одной из новых возможностей будет включение ключей EC25519, которые не могут иметь значения для большинства из нас, но это действительно предлагает некоторые значительные увеличения производительности.
И другие вещи имеют значение также. Например, значения по умолчанию используют хеш SHA1, и он должен быть изменен, потому что он знал слабые места, но он не полностью повреждается, как RC4 и возможно MD5. Я настоятельно рекомендую генерирующие новые ключи с помощью более сильного хеша. См.: http://keyring.debian.org/creating-key.html
Когда я испытаю Google Вплотную, я буду, как часть моя персональная политика PGP, только имейте подраздел в системе. Таким образом, я могу сохранить ключи путем отмены, или истечение, подраздел и генерировать новый. См.: https://wiki.debian.org/Subkeys
Я должен отметить процесс руководящих ключей, и подразделы могли использовать некоторые существенные улучшения с точки зрения удобства использования. И процесс фиксации Ваших ключей при генерации его с хешами SHA1, является еще меньшим количеством забавы...