`\. ,/' |\\____//| )/_ `' _\( ,'/-`__'-\`\ /. (_><_) ,\ ` )/`--'\(`' atc ` ' ____ _ ____ | _ \ _ _ ___(_) ___ | __ ) _ __ __ _ __ _ | |_) | | | / __| |/ _ \| _ \| '__/ _` |/ _` | | _ <| |_| \__ \ | (_) | |_) | | | (_| | (_| | |_| \_\\__, |___/_|\___/|____/|_| \__,_|\__, | |___/ |___/ * * * t h i n k i n g i s d a n g e r o u s i t l e a d s t o i d e a s home : http://rys.io/ atom : http://rys.io/atom rss : http://rys.io/rss atom : http://rys.io/pl/atom rss : http://rys.io/pl/rss * * * [ 30.12.2014 ] ZMIANA KLUCZA GPG ====================================================================== [ src: /pl/147.src ] [ en : /en/147 ] [ pl : /pl/147 ] Wszem i wobec -- zmieniam klucz GPG, ze starego: > `07FD 0DA1 72D3 FC66 B910 341C 5337 E3B7 60DE C17F'[1] ...na nowy: > `D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E'[2] __*Bezpieczeństwo starego klucza nie zostało naruszone*__. Głównym powodem zmiany jest ten słaby podklucz: > `sub '*`1024R'*`/0x085C4F046A46EBC9' Wygenerowałem nowy, znacznie silniejszy klucz. Przy okazji dbając o to, by zabezpieczyć się (w jakimś zakresie) przed potencjalnie paskudnymi konsekwencjami utraty klucza prywatnego (np. wraz ze skradzionym laptopem). Skorzystałem z tych trzech tutoriali (niestety, po angielsku): - Creating a new GPG key[3]; - Creating the perfect GPG keypair[4]; - Creating a new GPG key with subkeys[5]. Z ich pomocą stworzyłem parę kluczy `master', przechowywaną w bezpiecznym miejscu; oraz parę kluczy `laptopowych', do codziennego użytku. Para `master' nigdy nie znalazła się na moim laptopie, ani na żadnym innym urządzeniu, którego na co dzień używam -- została wygenerowana na oddzielonym od sieci losowym "niczyim" laptopie, jednym z kilku zalegających w Warszawskim Hackerspace[6] (każdy hackerspace[7] na świecie pewnie ma takich kilka). Na laptopie uruchomiłem TAILSa[8]. Z pary `master' wygenerowałem z kolei (również na tym samym losowym laptopie) parę `laptopową'. Parę `master' przeniosłem w bezpieczne miejsce, `laptopową' -- na laptopa. Obie zostały bezpiecznie wymazane z maszyny, na której były tworzone (na wszelki wypadek; i tak wszystko działo się na ramdysku). Rozdzielenie kluczy na `master' i `laptop' oznacza, że nie mogę podpisywać cudzych kluczy na bieżąco -- mogę to zrobić wyłącznie gdy mam dostęp do pary `master', której oczywiście ze sobą nie wożę. KOMUNIKAT O ZMIANIE KLUCZA - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Poniżej znajduje się mój komunikat o zmianie klucza. Wersja podpisana oboma kluczami dostępna jest do ściągnięcia[9]. > Komunikat o zmianie klucza GPG > Data: 30 grudnia 2014 > > Z wielu powodów[10] stworzyłem ostatnio nowy klucz OpenPGP, którego od teraz będę > używał, porzucając klucz stary. > > Stary klucz będzie nadal ważny przez jakiś czas, ale wolałbym, > by wszelka przyszła korespondencja korzystała już z nowego > klucza. Chciałbym też, by nowy klucz został zintegrowany do sieci > zaufania. Niniejsza wiadomość podpisana jest oboma kluczami, by > ją uwiarygodnić. > > Stary klucz to: > > `pub 4096R/0x5337E3B760DEC17F 2011-09-28 [wygasa: 2015-01-31]' > ` Odcisk palca = 07FD 0DA1 72D3 FC66 B910 341C 5337 E3B7 60DE C17F' > > Nowy klucz to: > > `pub 4096R/0xEAA4EC8179652B2E 2014-10-14 [wygasa: 2020-10-12]' > ` Odcisk palca = D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E' > > By pobrać cały klucz z publicznego serwera kluczy, możesz > zwyczajnie: > > ` gpg --keyserver keys.riseup.net --recv-key 'D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E'' > > Jeśli zaś masz już mój stary klucz, możesz upewnić się, że > nowy klucz jest podpisany kluczem starym: > > ` gpg --check-sigs 'D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E'' > > Jeśli nie masz mojego mojego starego klucza, lub chcesz się > dodatkowo upewnić, że wszystko gra, możesz porównać odciski > palca kluczy: > > ` gpg --fingerprint 'D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E'' > > Gdy jesteś usatysfakcjonowany i pewny, że masz właściwy klucz, i > że UIDy kluczy zgadzają się z oczekiwanymi, byłbym zobowiązany > za podpisanie mojego nowego klucza. Można to zrobić za pomocą > komendy: > > ** > *UWAGA: jeśli mój klucz jest już przez Ciebie podpisany, ale wyłącznie lokalnie (lsign), użyj komendy --lsign-key zamiast tego, co poniżej, i nie wysyłaj podpisów na serwer kluczy* > ** > > ` gpg --sign-key 'D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E'' > > Chciałbym w miarę możliwości otrzymać Twoje podpisy mojego > klucza. Możesz mi je wysłać mailem, jeśli masz działające MTA > na swoim systemie): > > ` gpg --export 'D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E' \' > ` | gpg --encrypt -r 'D0E9 E1E3 D80A 098A 0D0D 7EC4 EAA4 EC81 7965 2B2E' \' > ` --armor | mail -s 'Podpisy OpenPGP' rysiek@hackerspace.pl' > > Przy okazji -- mocno sugeruję wdrożenie mechanizmu automatycznego odświeżania > kluczy w celu otrzymywania na bieżąco rewokacji i innych > aktualizacji stanów kluczy. Można do tego użyć parcimonie[11] -- daemona, który powoli, w tle, odświeża klucze z serwerów kluczy > przez Tora. Używa losowego czasu przerw pomiędzy kolejnymi > akcjami, i oddzielnych tras w sieci Tor dla każdego z kluczy. > Oznacza to, że ciężko byłoby komukolwiek skorelować > aktualizacje kluczy z Twoim zestawem kluczy. > > Gorąco też zachęcam do zapoznania się z najlepszymi praktykami > dotyczącymi GPG, zebranymi przez RiseUp; stamtąd bezczelnie > ukradłem większość angielskiego tekstu niniejszej wiadomości. > ;-) > > https://help.riseup.net/en/security/message-security/openpgp/best-practices > > Jeśli pojawią się jakieś pytania bądź problemy, proszę o znak > sygnał -- i przepraszam za zamieszanie. > > > Michał "rysiek" Woźniak > rysiek@hackerspace.pl > Links: ------ [1] http://pool.sks-keyservers.net/pks/lookup?op=vindex&fingerprint=on&search=0x5337E3B760DEC17F [2] http://pool.sks-keyservers.net/pks/lookup?op=vindex&fingerprint=on&search=0xEAA4EC8179652B2E [3] http://ekaia.org/blog/2009/05/10/creating-new-gpgkey/ [4] https://alexcabal.com/creating-the-perfect-gpg-keypair/ [5] https://www.void.gr/kargig/blog/2013/12/02/creating-a-new-gpg-key-with-subkeys/ [6] https://hackerspace.pl/ [7] http://hackerspaces.org [8] https://tails.boum.org/ [9] /static/komunikat-o-zmianie-klucza-gpg.txt.asc [10] https://www.debian-administration.org/users/dkg/weblog/48 [11] https://gaffer.ptitcanardnoir.org/intrigeri/code/parcimonie/ * * * +-------------------------------------------------------------------+ | (c) 2011 — 2016 Michał "rysiek" Woźniak | | --------------------------------------- | | all content, unless specified otherwise, licensed under | | Creative Commons - By Attribution - Share Alike - 3.0 PL | +-------------------------------------------------------------------+