GPG Subkeys?

Ingo Lütkebohle ingo at fargonauten.de
Wed Jun 23 14:28:44 CEST 2004 

On Wed, 2004-06-23 at 13:48, Stefan Ulrich Hegner wrote:
> > Im Allgemeinen wird nur der Encryption-Key mit einem Expire-Datum
> > versehen. 
> das wäre dann der elGamal key, ja?

Ja.  Der Vollständigkeit halber sei angemerkt, dass ElGamal bei GPG der
Standard ist, man aber auch RSA-Subkeys erzeugen kann, mit denen sich
dann auch verschlüsseln lässt.

> > D.h., der Signaturschlüssel 
> =DSA ?

Standardmässig ja:  Hier ginge aber auch wieder RSA.

> Das versteh' ich so noch nicht. Liegt vielleicht daran, dass ich bisher
> ein Konzept von *einem* key im Kopf hatte. - Also der DSA Schlüssel ist
> der "eigentliche" key und dient dem signieren. - Der elGamal Schlüssel
> ist ein Subkey des DSA keys und wird zum verschlüsseln verwendet, ja?

Ja.

"Key" ist bei PGP verwirrend im Gebrauch, die jeweilige Bedeutung ergibt
sich nur aus dem Kontext.  Mit "PGP-Key" bezeichnen viele das komplette
Paket aus Signaturschlüssel, Unterschlüssel, UIDs und Signaturen.  Im
Kontext der Anwendung kryptographischer Algorithmen spricht man auch von
Key, dann sind aber nur ein paar Bytes aus dem ganzen Paket gemeint, der
"eigentliche" Schlüssel.

> Du sagst also, dass der elGamal subkey nur die sig vom DSA key trägt.
> Das ist losgelöst von den uid sigs, die den DSA key beglaubigen.
> 
> Folglich kann ich den zu einem Zeitpunkt x problemlos erneuern, sofern
> der DSA Haupt-key nicht kompromittiert wurde.

Richtig.

> Dann sollte der DSA-key heutzutage aber auch >1024 bit sein, gell?

Man kann Aussagen über Bitlängen und "Sicherheit" nicht direkt zwischen
verschiedenen Algorithmen übertragen.  Bei DSA geht man allgemein davon
aus, dass 1024bit noch sicher sind.  Mit grösseren Schlüsseln kann es
auch Interopabilitätsprobleme geben, weil DSA im Standard nur bis 1024
bit spezifiziert ist.  Ich würde also noch dabei bleiben.  Beim
ElGamal-Verschlüsselungskey darf man gut schon auf 4096bit gehen,
aber...

Ab einer gewissen Schlüssellänge spielt auch der Hash-Algorithmus eine
Rolle.  Wenn man MD5 verwendet (Default bei RSA), bringen einem mehr als
1024bit z.B. nix, weil der Hash so kurz ist.  Bei SHA-1 hat man etwas
mehr Spiel, weil der Hash länger ist, aber auch nicht ewig.  Das ist ein
Grund, warum Keys mit 4096 Bits momentan noch von zweifelhaftem Wert
sind, die dafür nötigen längeren Hash-Algorithmen sind noch nicht sehr
verbreitet.

Ingo

More information about the Linux mailing list