it-swarm-ja.com

GPG暗号化キーを取り消す方法はありますか?

OK、私が理解しているように、キー失効メカニズムは、信頼のWebで署名キーを取り消すために使用されます。つまり、以前に使用したIDが侵害されたと他のGPGユーザーに伝え、新しいIDを確立したいとします。それはまだあなたです(それでも同じレベルの信頼を維持します);古いキーは無視してください。それはもう「私ではありません」です。したがって、「古い」私へのメッセージを暗号化することはできません。また、新しいメッセージについて「古い」私が信頼できると見なすこともできません。

ただし、「古い」秘密鍵が古いメッセージを復号化することは可能です。例: 「失効証明書の生成」のすぐ下を読んでください

暗号化キーを取り消すために同様のことを行うことができるGPGの方法はありますか?自分のキーといくつかの暗号化されたファイル(たとえば、財務データ)の両方で盗まれたラップトップがあり、それらのファイルを復号化するラップトップの機能を削除したいとします。明らかに、ラップトップがキーサーバーに接続しない場合、失効することはありませんが、そのラップトップがキーサーバーに接続して失効メッセージを取得した場合に、暗号化キーの失効を作成できる方法はありますか?ファイルは復号化できなくなりましたか?

(はい、私の秘密鍵は、長くて力ずくの難しいパスワードでパスワードで保護されていますが、それでも、鍵の復号化可能性を無効にするより確実な方法があるかどうか興味がありました)。

1
Matt

いいえ、データの復号化に必要なキーが含まれているという理由だけで、GPGキーで暗号化されたコンテンツの復号化を停止することはできません。 fileを復号化しないように指示することはできません。

GPG Web of Trustを使用すると、自分のキーをもう信頼しないように他の人に伝えることができます。彼らはもうあなたの鍵で新しいコンテンツを暗号化することはありません(それがアイデアです)。ただし、古いコンテンツは引き続き復号化できます。

データを安全に保ちたい場合は、古いキーでデータを復号化し、新しいキーで再暗号化します。

3
mtak

OpenPGPでの失効

失効とは、鍵サーバーに公開される(または他の方法で配布される)独自の鍵によって署名されたメッセージであり、他のOpenPGPメッセージが無効になり、理由と日付が強化されている可能性があることを通知します。

失効は、例えばのために発行することができます。キーまたは他のキーの証明書(署名)。失効すると、(失効を受け取った)他の人がキーをさらに使用/信頼することができなくなります。

失効と復号化

誰かがあなたの秘密鍵(使用されたパスフレーズを含む可能性があります)と復号化されるメッセージの両方にアクセスできる場合は、そのようなメッセージの結果を考慮してください。攻撃者がメッセージを復号化できないようにする失効が存在する場合、攻撃者はキーを更新したり、メッセージを無視したりしません(OpenPGPはパブリックプロトコルであることに注意してください。いつでも独自の実装を作成したり、既存の実装を変更したりできます)。

攻撃者が復号化するための秘密鍵を持っている場合、復号化を防ぐことはできません。

1
Jens Erat

ラップトップの場合のように、誰かが暗号化されたドライブを盗むことを心配している場合は、私の解決策を提案できますか?個人用の、同等以上の暗号化サーバーを使用して、すべての機密データを保存します。安全な接続とVPNを使用して海外でこのデータにアクセスし、ラップトップをシャットダウンして閉じる前にランダムに上書きします。少し時間がかかりますが、ラップトップからデータを取得している人がいないことを保証します。また、アクセス方法とそのパスフレーズを知らずにサーバーにリモートアクセスできないことを保証します。とにかく再度使用する前に知らないうちに、誰もサーバーに物理的にアクセスできないことを確認してください。そうすれば、かなり強固なセキュリティ基盤が得られると思います。

0
sancho