[CryptoParty] GPG Schlüssel von Passphrase erstellen
Daniel Kraft
d at domob.eu
Fr Dez 12 07:21:07 CET 2014
Hi!
On 2014-12-11 23:33, Ralph Wozelka wrote:
> On 2014-12-11 22:03, Patrick Strasser wrote:
>> Am 2014-12-11 um 09:53 schrieb Daniel Kraft:
>>> Gibt es eine (einfache) Möglichkeit, einen GPG-Schlüssel
>>> basierend auf einer Passphrase zu erstellen?
> [...]
>>> Meine Motivation: Während ich für den RSA-Schlüssel 4096 Bit
>>> möchte, reichen 256 Bit "reine Entropie" völlig aus (da
>>> Faktorisieren einfacher ist als brute-force Raten).
>
>> Nicht ganz klar für mich.
>
> mir auch nicht. meinst du, die 256 bit sind auch gut, weil nur über
> brute-force zu erraten. der RSA key ist zwar länger, aber auch
> leichter zu knacken, weil man da mit faktorisieren besser fährt?
> also insgesamt 256+brute-force == 4096+faktorisieren?
Ja, genau. Das meinte ich damit.
On 2014-12-11 22:03, Patrick Strasser wrote:
>> Ich würde mir gerne einen neuen
>> Hauptschlüssel erstellen, der dann offline bleibt und für meine
>> GPG-Identität steht. Den würde ich gerne als Backup auch
>> (verschlüsselt) auf Papier ausdrucken (und sicher lagern). Das wäre
>> natürlich viel einfacher, wenn ich nur 256 Bit (eine Zeile Text) dafür
>> bräuchte, und nicht den ganzen von GPG exportierten Schlüssel (der
>> deutlich größer ist). Die 256 Bit kann man ohne Probleme als QR-Code
>> ausdrucken oder einfach von Hand abschreiben.
>
> In deinem "Schlüssel" ist einiges mehr drinnen als nur der
> cryptographische Schlüssel: Die IDs, die Sub-Schlüssel, Einstellungen
> etc. Der reine private Schlüssel ist natürlich nur z.B. 4kiBit, also 512
> Byte groß.
>
>> Hat sich dazu schon mal jemand Gedanken gemacht, und eine Lösung für
>> mich? Oder ist das bis jetzt einfach nicht mit den Standard-Tools möglich?
>
> Ja, da gibt es was: paperkey
Danke, das war genau, wonach ich gesucht habe! Werd ich gleich
ausprobieren.
> Zum Thema Hauptschlüssel: Einen eigenen Signier-Key zu haben, der nicht
> für die tägliche Arbeit verwendet wird ist eine feine Sache. Es gibt
> auch die Möglichkeit, den Hauptschlüssel aus dem Key zu entfernen, das
> ist aber eher eine Spezialanwendung. Signieren tust du eh nur zuhause,
> mit dem gut geschützten Signier-Key baust du am Web of Trust mit. Der
> Arbeitsschlüssel ist dann allein über den Signierkey, dann aber mit
> höchster Truststufe, verbunden, das funktioniert wunderbar.
Ich hab mir den Schlüssel jetzt so eingerichtet, dass es ein einzelner
ist aber der private Hauptschlüssel entfernt wurde (außer am
Offline-System natürlich). Ging recht gut, und halte ich für eine sehr
schöne Lösung. Am Online-System hab ich jetzt einen eigenen Signier-
und Verschlüsselungsschlüssel, aber nicht dem fürs WoT.
> Ich würde aber auch von einem Arbeitskey eine Sicherung machen,
> möglichst auch offline/hard copy. Das gilt natürlich auch für ein Revoke
> Certificate. Es ist übrigens möglich, einem anderen Schlüssel ein
> Revoke-Recht einzuräumen, dann kannst du auch bei verlorenem
> Arbeitsschlüssel diesen noch mit dem Signierschlüssel revoken.
Ja klar -- ich hab natürlich von allen Schlüsseln plus dem
Widerrufszertifikat Offline-Backups. Der Papierausdruck ist nur eine
zusätzliche Absicherung (wird ja auf der Webseite von Paperkey selbst
auch schön erklärt).
Danke jedenfalls für den guten Hinweis! :)
Liebe Grüße,
Daniel
--
http://www.domob.eu/
OpenPGP: 901C 5216 0537 1D2A F071 5A0E 4D94 6EED 04F7 CF52
Namecoin: id/domob -> https://nameid.org/?name=domob
--
Done: Arc-Bar-Cav-Hea-Kni-Ran-Rog-Sam-Tou-Val-Wiz
To go: Mon-Pri
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 836 bytes
Beschreibung: OpenPGP digital signature
URL : <http://lists.mur.at/pipermail/cryptoparty/attachments/20141212/0d345ace/attachment-0001.sig>
Mehr Informationen über die Mailingliste CryptoParty