Генерация ключей и подключей




Комментарии
Гость (06/07/2010 02:35, исправлен 06/07/2010 08:42)   

А как генерить ключ из командной строки, который не будет пригоден для шифрования? По умолчанию, емнип, все используют gpg --gen-key, который делает пару где можно и шифровать и подписывать, это как бы дефолт. Если вдруг дефолт в kgpg другой, это очень странно.


[moderator]
Офф-топик, отделён из этого[link1] обсуждения.
[/moderator]

— SATtva (06/07/2010 08:48)   


Так что для шифрования и подписи пригоден только первый вариант, который генерирует ключ сразу с подключём.

В том обсуждении речь шла о ключе DSA. Почему kgpg сгенерировал его без подключа — сказать трудно, недосаточно исходных данных. Возможно, пользователь не обратил внимание на различие и выбрал не дефолтный вариант. Возможно, в kgpg нет пункта наподобие №1 у gpg (кстати, это так? хотелось бы услышать комментарии пользователей программы).
— sentaus (06/07/2010 10:05, исправлен 06/07/2010 10:07)   
Почему kgpg сгенерировал его без подключа — сказать трудно, недосаточно исходных данных.

Судя по всему, текущая версия иначе не умеет – генерируется только главный ключ, т.е. доступны только варианты 2 и 5 из меню выше.

— SATtva (06/07/2010 10:08)   
Интересно, после генерации главного ключа выдаётся какое-нибудь предупреждение, что он пригоден только для подписи и пользователю следует сгенерировать шифровальный подключ?
Гость (06/07/2010 10:23)   
текущая версия иначе не умеет
Девы решили, что быдлу не надо уметь шифровать сообщения? :) Кстати, а чего такая нетривиальная нумерация вариантов: 1, 2, 3 5?
— unknown (06/07/2010 10:27)   
А если набрать , то можно увидеть и более нетрививальную нумерацию вариантов. Не все варианты включены, доработаны или выпиисключены.
— SATtva (06/07/2010 10:31)   
Да, были ещё ElGamal для подписи, но с ними не сложилось[link2].
— sentaus (06/07/2010 11:56)   
Интересно, после генерации главного ключа выдаётся какое-нибудь предупреждение, что он пригоден только для подписи и пользователю следует сгенерировать шифровальный подключ?


Не заметил ничего такого :)
— SATtva (06/07/2010 12:35)   
Это уже плохо с точки зрения UI.
Гость (27/07/2010 04:22)   


В новой версии GnuPG изменился списочек. Это как-то связано с безопасностью?
— unknown (27/07/2010 10:55, исправлен 27/07/2010 10:56)   

DSA-2 возможно несовместим с PGP и с его внедрением могут быть какие-то трудности, поэтому вместо старого DSA решили использовать RSA как более универсальный и совместимый (просто предположение).

— sentaus (27/07/2010 11:20)   
Это как-то связано с безопасностью?

В какой-то мере. Старый DSA с 1024-битными ключами и SHA1, который был раньше по умолчанию, из эксплуатации сейчас выводят. Ну а остальное написано в предыдущем комментарии.
— SATtva (27/07/2010 20:34)   
DSA-2 возможно несовместим с PGP

С версиями PGP младше 9.5. Главная проблема в том, что DSA-2 не стандартизирован в спецификациях OpenPGP: разработчики PGP и GnuPG ещё могут договориться, но надеяться на поддержку со стороны множества мелких реализаций точно не приходится.

Ссылки
[link1] http://www.pgpru.com/comment40519

[link2] http://www.pgpru.com/novosti/2004/1020algoritmpodpisieljgamaljaiskljuchenizopenpgp