PGP keys версии 9

Установлено PGP 9.0.0. Build 2001.

Обновитесь до версии посвежее.

Скажите чем это можно объяснить?

Баг. Поэтому я и не использую PGP 9 ни для каких задач, кроме тестирования. И не думаю, что это стоит делать ещё хотя бы полгода, а лучше до тех пор, пока разработка не перевалит за рубеж 9.1.

Заметьте, что PGP 8 был основан на коде, наследованном большей частью ещё с версий 6.х, а частями — аж с пятых версий. PGP 9 написан с нуля. Исключение — криптографическое ядро, поэтому криптографическую надёжность я сомнению не подвергаю. Но клиентские, сетевые и другие модули программы ещё нужно шлифовать.

если на связке корреспондента присутствует не один, а 2 или более действующих подключей, какой из них программа использует для шифрования – оба?

Самый новый. Можете проверить сами, для этих целей есть интерфейс pgpdump (или аналогичная функция GPG). Вначале проверьте ID подключей, затем зашифруйте файл и скормите шифртекст системе. Там Вы увидите, как был использован подключ.

Ясно, спасибо. Кстати, еще из багов видимо, хоть и не в тему. Как то неустойчиво работает Shred.

Как то неустойчиво работает Shred.

Проверьте версию 9.0.2. Если и там будут какие-то проблемы, опишите их более подробно в этом разделе.

Попробую переустановить. Кстати сегодня тот же ключ импортировал в PGP 8.1. Так же возникли часики, которые исчезли после перезапуска PGP keys.

Какой хитрый ключ. А можно на него здесь взглянуть?

Действительно хитрый. Пошлю его Вам по почте. Кстати я подумал, что может быть это из-за того, что PGP некоторое время "соображает", т.к. некоторые записи сертификата отозваны? Теряюсь в догадках.

Добрый день! :)
К вопросу о подключах.
Предположим в графе SIZE ключа абонента указано значение 3072/1024, это означает, что длина ключа подписания равна 1024 бит. По какому ключу указывается размер ключа шифрования (в данном случае 3072), если у абонента на связке находится несколько действительных подключей различного размера?

В PGP — по первому сгенерированному вместе с базовым подключу. Т.е. если создаёте ключ 3072/1024, а потом добавляете подключ на 2048 бит, в свойствах всё равно будет отображаться 3072/1024, хотя шифрование будет производиться 2048-битовым подключом. (Можно даже назвать это багом. При этом корреспондент может добавить к своему ключу 3072/1024 подключ на 512 и менее бит, что отправитель может не заметить. Но для атаки такую особенность вряд ли можно использовать.)

Чтобы избежать этой путаницы, создав новый ключ Вы можете удалить текущий подключ и добавлять новые с ограниченными периодами действия. Правда, я не могу вспомнить, будет ли PGP изменять запись о длине ключа в его свойствах своевременно с переходами между подключами (если у них разные длины).

Не очень это все хорошо. Например было бы лучше, если бы можно было создать подключ на каждый месяц года, с небольшим запасом вперед на три-четыре месяца.

А почему нельзя? Можно. Только слишком короткими всё равно делать не стоит, иначе в перспективе, когда станет возможным ломать, скажем, 1024-битовые ключи, оппонент сможет прочитать всю бывшую переписку. Если она к тому моменту, конечно, не потеряет актуальность. :)

Кстати, пара человек из рабочей группы OpenPGP работают над расширениями PFS для стандарта. Очень было бы неплохо.

SATtva, не могли бы пару слов сказать о PFS? Это что то из области управления большим количеством подключей?
Почему вы пишите, что взломав 1 ключ можно прочитать всю прошлую переписку? Разве взломав один подключ можно сломать все остальные ключи? Иили Вы делаете акцент на размер небольших ключей, которые можно будет ломать брутфорсом по очереди?

PFS (Perfect Forwar Secrecy)

Почему вы пишите, что взломав 1 ключ можно прочитать всю прошлую переписку?

Неточно выразился. Он сможет читать всю переписку, зашифрованную этим подключом.

Представим гипотетическую ситуацию, что Вы создаёте для своей ключевой пары множество 512-битовых подключей, действующих по месяцу (или неделе) каждый, т.е. каждым подключом шифруется относительно небольшой объём данных. Случается так, что Вы однажды передаёте какую-то очень важную информацию, которая не теряет свою ценность, скажем, пару лет. Если оппоненту становится известно (предположим, что не слишком поздно) о факте передачи, он за год ломает брутфорсом данный подключ и дешифрует информацию.

Сегодня ключи и подключи PGP не обладают свойством PFS, поэтому в любой момент времени оппонент может попытаться восстановить из любого открытого ключа закрытый и дешифровать защищавшуюся с его помощью в прошлом информацию.

Сегодня в MIT пройдёт лекция Эрана Тромера по факторизации больших чисел. Вот небольшая выдержка из распространённого объявления:

The use of custom hardware, as opposed to the traditional RAM model,
offers major benefits (beyond plain reduction of overheads): the
possibility of vast fine-grained parallelism, and the chance to
identify and exploit technological tradeoffs at the algorithmic level.

Taken together, these works have reduced the cost of factoring by many
orders of magnitude, //making it feasible, for example, to factor
1024-bit integers within one year at the cost of about US$1M// (as
opposed to the trillions of US$ forecasted previously). This talk will
survey these results, emphasizing the underlying general ideas.

Краткий перевод: использование специализированных микросхем на этапах отсеивания и построения матрицы для алгоритма решета числового поля (NFS) делает сегодня возможной факторизацию 1024-битовых чисел за один год с затратами порядка 1 млн. долларов.

Вот такие пироги. А много вы видели ключей удостоверяющих центров и в принципе сертификатов X.509 крупнее 1024 бит? А DSS вообще только с 1024-битовыми ключами работает. Выходит, и тут Шнайер с Фергюссоном правы, что пора на 6000-8000-битовые ключи переходить?

Да, и это также пересекается с предыдущими работами из Израиля о создании оптоэлектронных микросхем для факторизации.

Предположим в корпоративной среде администратор является хранителем секретных ключей пользователей, однако руководство корпорации считает, что ключи при хранении должны быть разделены. Возможно ли разделение общей связки секретных ключей, или ключи можно делить только по одному по очереди?