Megértem az RSA, Elgamal, AES, SHA mögött álló matematikát, de nem azt, hogy a dolgokat hogyan használják a gyakorlatban. Miben különböznek az alkulcsok a fő kulcstól? Különböző weboldalakról értem a célját, de hogyan valósítják meg belsőleg? Hogyan kapcsolódik a mester kulcshoz? OpenPGP terminológia?
Megjegyzések
- Ez nekem nagyon sokat segített: wiki.debian .org / Alkulcsok
Válasz
Ez hozzászólás rjh felhasználótól 2008-tól az enigmail fórumon jól válaszol rá:
Eredetileg a PGP 2.6-ban, még a 90-es évek elején, csak egy kulcspárod volt, és mind titkosításhoz, mind aláíráshoz használták. További kulcstartók képessége mérnöki kihívásokat jelentett. Végül úgy döntöttek, hogy a kiegészítő kulcspárokat “alkulcsoknak” fogják nevezni, annak ellenére, hogy nincs bennük “semmi” al “. Hasonlóképpen, az, amit te” kulcsodnak “hívsz, egyáltalán nem kulcs – a terminológia visszatartó azokból a napokból, amikor a kulcs valóban kulcs volt. Manapság a kulcs valóban egy kulcsok gyűjteménye , néhány metaadattal együtt a felhasználói azonosítókhoz, aláírásokhoz stb.
Például a “kulcsomon” négy kulcspár található: 5B8709EB , D0C6AAE4, 71E177DB és 8DB02BBB3.
Amit a GnuPG “nyilvános kulcsának” hív, az valóban a legrégebbi aláíró kulcs a gyűjteményben. Például, mivel először az 5B8709EB jött létre, a GnuPG a teljes kulcs- és metaadatkészletet “5B8709EB kulcsnak” nevezi.
Tehát “lehetséges-e olyan kulcs, amelyet titkosításhoz és aláíráshoz használnak mindenféle nélkül alkulcs egyáltalán? “A válasz itt nem, mert a kulcs összes kulcspárja alkulcs. Még akkor is, ha csak egy van belőlük.
Válasz
Alkulcsok
Az alkulcscsomagok a RFC 4880, OpenPGP, 5.5 kulcsanyagcsomag . Csak egy másik csomagazonosítóval különböztetik meg őket, és egy kötelező aláírás megköveteli, hogy valóban hasznos legyen (lásd alább).
Nyilvános-alkulcs csomag (tag A 14) pontosan ugyanolyan formátumú, mint a nyilvános kulcs csomagja, de alkulcsot jelöl.
Alkulcshasználat
Az OpenPGP alkulcsok: Különböző célokra használják:
- Az elsődleges kulcs offline vagy biztonságosabb eszközön történő tárolása. Ha egy alkulccsal rendelkező gép sérül, akkor az alkulcsot könnyedén visszavonhatja anélkül, hogy minden visszavonási gondot okozna. az elsődleges kulcsod (új kulcs megosztása, új aláírások megszerzése, …).
- Különböző alkulcsok vannak a különböző gépeken, például egy aláíró alkulcs egy build szerveren. Ismét egyszerű az egyes kulcsok visszavonása.
- Nagyobb elsődleges kulcs használata hosszú élettartamra, rövidebb, de gyorsabb alkulcsok használata mindennapi használatra.
- Egyes algoritmusok nem támogatják a titkosítást és az aláírást sem. Például a DSA elsődleges kulcsához egy másik kulcsra van szükség a titkosításhoz ption, általában párosítva az ElGamal-szal.
Aláírások kötése
Vannak speciális aláírási altípusok az alkulcsok elsődleges kulcsokhoz (és fordítva) kötéséhez, amelyek a RFC 4880, OpenPGP, 5.2.1 aláírástípusok :
0x18: Alkulcskötés aláírása
Ez az aláírás a legfelső szintű aláíró kulcs által kiadott utasítás, amely jelzi, hogy az alkulcs tulajdonosa. Ezt az aláírást közvetlenül az elsődleges kulcsra és az alkulcsra kell kiszámítani, nem pedig semmilyen User ID-re vagy más csomagra. Az aláíró alkulcsot összekötő aláírásnak KÖTELEZnie kell egy beágyazott aláírás alcsomagot ebben az összerendelési aláírásban, amely 0x19-es aláírást tartalmaz az aláíró alkulcs által az elsődleges kulcson és az alkulcson.
0x19: Elsődleges kulcs-kötő aláírás
Ez az aláírás egy aláíró alkulcs nyilatkozata, jelezve, hogy az elsődleges kulcs és az alkulcs tulajdonosa. Ez az aláírás ugyanúgy kerül kiszámításra, mint a 0x18-as aláírás: közvetlenül az elsődleges kulcson és az alkulcson, nem pedig semmilyen User ID-n vagy más csomagon.