如何将我的旧 PGP 密钥迁移到更安全的算法?

如何将我的旧 PGP 密钥迁移到更安全的算法?

我有一个使用旧 GnuPG 算法默认值的旧 PGP。根据GnuPG 的最佳加密和签名算法:RSA/RSA 还是 DSA/Elgamal?,这些算法设置不再足够,所以我想将我的 PGP 密钥移至更安全的算法设置。最好的方法是什么?我必须撤销我的密钥并创建一个全新的密钥吗?

答案1

没有办法“升级” OpenPGP 密钥。您将必须创建一个新的信任网络,并且您将失去在信任网络中的声誉。

我遇到的一些人决定坚持使用 RSA 1024 主密钥,但是使用更强的子密钥(这很容易实现,而且不会在信任网络中失去您的声誉),它具有安全的日常使用(用于使用您的子密钥加密/签署文档),但可能使攻击者能够添加和撤销认证、子密钥和 UID。

想一想:

  • 使用旧密钥对新密钥进行签名,以便其他人可以遵循签名
  • 发送关键过渡语句(似乎低落,archive.org 上的替代链接)给那些签署了你的旧密钥的人;其中一些人可能也会签署你的新密钥
  • 获取新密钥签名,例如前往主要签约方
  • 一段时间后撤销旧版本
  • 使用看似不必要的大密钥作为主密钥,并使用较小的子密钥进行日常使用。除了签署其他密钥(这种情况很少见)和其他人验证您的签名(无论如何都很便宜)之外,您永远不需要主密钥。

相关内容