GPG Subkeys?

[Ingo Luetkebohle]

Am Di, den 22.06.2004 schrieb Stefan Ulrich Hegner um 20:39:
> ich möchte mir für meine berufliche Tätigkeit auch einen GPG Key
> erzeugen. Nun wäre es dumm, mit einem neuen Key bei null anzufangen.
> Eine zusätzliche uid für meinen privaten Key würde ich gerne auch
> vermeiden. - Da scheint das Zauberwort Subkey zu heißen.

Du hast leider nicht genau geschrieben, was Du eigentlich bezwecken
willst.  Ich nehme an, es geht Dir darum, auf der Arbeit einen anderen
Secret-Key verwenden zu können.  Einen anderen Grund, nicht denselben
Key wiederzuverwenden kann ich mir eigentlich nicht vorstellen.

Das aber ist mit Subkeys problematisch:  Verschlüsseln tut ja jemand
anders und dem kannst Du nicht vorschreiben, dass er einen bestimmten
Subkey verwenden soll.

Die einfachste Lösung ist:  Erstell Dir einen komplett neuen Schlüssel
und signier den mit dem Alten, sowie umgekehrt.  Damit bist Du wieder im
selben Set wie der alte Schlüssel.  Der Abstand wird zwar geringfügig
grösser, aber das ist nicht nennenswert, finde ich.

> Wie machen das denn die Leute, deren Key ein Verfallsdatum hat?- Gehen
> die alle 2 Jahre neu auf Signatur-Rallye?

Im Allgemeinen wird nur der Encryption-Key mit einem Expire-Datum
versehen.  D.h., der Signaturschlüssel ist weiter verwendbar und kann
genutzt werden, um einen neuen Encryption-Key zu signieren.  Da der
Encryption-Key eh nur vom Haupt(signatur-)key signiert ist, ändert das
an den UID-Signaturen gar nix.

Key-Expiry verwendet man, von Flos eher pragmatischem Ansatz mal
abgesehen, um zu verhindern, dass ein und derselbe Key für sehr viel
Daten verwendet wird.  Mehr Ciphertext macht prinzipiell einen Angriff
leichter, wobei das ja nach Schlüsselgrösse schon eher bei Terabytes
liegen muss, damit es sich auswirkt (ohne Gewähr).  D.h., es reicht, das
für den Encryption-Key zu machen, der Signaturkey wird üblicherweise
nicht soviel genutzt.

gruss

-- 
Ingo

Soll doch jeder bleiben, wie er gerne wäre.