Под влиянием недавнего уязвимость в SHA-1 и увещевания начать процесс отхода от этой хеш-функции, я снова играю с GnuPG. Мне просто было интересно, как другие люди используют эту систему. Используйте эти вопросы как подсказки, но мне бы очень хотелось услышать о вещах, о которых я даже не думал.
Ключи какого размера вы используете?
Какие вещи есть в вашем gpg.conf?
У вас есть срок годности ваших ключей?
У вас есть сертификат отзыва где-нибудь в надежном месте - возможно, у надежного друга?
выясняя, как доверять ключам подписи. если вы этого не сделаете, gpg всегда будет выдавать вам это раздражающее сообщение «вы уверены, что хотите использовать этот ненадежный ключ ??»
делать
$ gpg --edit-key NAME
> tsign
И следуйте инструкциям оттуда.
Я использую 4096-битные ключи, не вижу смысла использовать что-то другое. Современные компьютеры легко становятся достаточно мощными, чтобы расшифровать что-то такое большое за секунды.
Я использую ключ шифрования, срок действия которого никогда не истекает, и ключ подписи, срок действия которого истекает ежегодно.
Мы использовали его долгое время, и за это время он был надежным, простым в работе и хорошо зарекомендовал себя на разных платформах. Мы регулярно шифруем данные на компьютерах с Linux и расшифровываем данные на компьютерах с Windows, и наоборот. Это проверенное, хорошо продуманное программное обеспечение, включающее новые алгоритмы и стандарты шифрования по мере их появления, и на протяжении многих лет хорошо зарекомендовало себя для безопасного хранения и передачи данных.
Мы используем 2048-битные ключи, срок их действия истекает через 2 года. Мы используем gpg.conf, чтобы указать алгоритмы шифрования, и, увидев новости о SHA-1, только начали изучать их перемешивание в соответствии с http://www.debian-administration.org/users/dkg/weblog/48. Мы не поддерживаем аннулирование где-либо еще, но также не используем его в рамках PKI.