Jaka jest minimalna ilość danych potrzebnych do podpisania pliku?

2

Powiedzmy, że mam plik o rozmiarze wielu gigabajtów na a praca komputer i (2) Mam mój prywatny klucz GnuPG na moim Dom komputer. Chcę podpisać naprawdę duży plik kluczem prywatnym.

Ufam mojemu Dom komputer całkowicie.

Ufam praca do pewnego stopnia komputer, ufam, że w tej chwili nie działa na nim szkodliwy kod, ufam, że nikt nie bawi się funkcjami haszującymi i ufam połączeniu sieciowemu między praca i Dom jest bezpieczny i niezmieniony. Co ja nie rób chcę zrobić to uratować moje bardzo cenny klucz prywatny na stronie praca komputer, nawet tymczasowo.

Nie chcę też spędzać 4 godzin na przesyłaniu naprawdę dużego pliku przez Internet praca do Dom . Co to jest minimalna ilość danych Muszę wysłać między praca i Dom komputery w celu podpisania pliku kluczem prywatnym?

Próbuję się dowiedzieć, czy wszystkie PGP robią to podpisując skrót pliku, czy jest możliwe, aby zmieścić plik na praca komputer, a następnie wyślij skrót (wraz z innymi wymaganymi metadanymi) do Dom komputer, który ma być podpisany, w sposób przejrzysty, tak jakbym rzeczywiście miał plik w ręku?

SSH ma funkcje przekazywania agentów. Czy istnieje podobna funkcja już w GnuPG, czy musiałbym zmodyfikować kod źródłowy, jeśli chciałbym stworzyć coś takiego?

pgp  digital-signature  openpgp 
IQAndreas
źródło
Tylko klucz prywatny może podpisać plik. Jeśli więc nie chcesz przenieść pliku do środowiska z kluczem prywatnym i nie chcesz przenieść klucza prywatnego do środowiska z plikiem, nie masz innych opcji.
Ramhound
@Ramhound Nie, klucz prywatny podpisuje skrót pliku (który jest stosunkowo mały) wraz z innymi danymi, a nie samym plikiem.
IQAndreas
Dosłownie użyłeś słów „chcę podpisać naprawdę duży plik kluczem prywatnym”. Jestem pewien, że masz rację. Doceniam twoją opinię i weźmie to pod uwagę w przyszłości.
Ramhound

Odpowiedzi:

1

Wszystko, czego potrzebujesz, to odpowiednia suma kontrolna pliku, ale nie wiem, czy GnuPG lub jakakolwiek inna implementacja tworzy podpis z sumy kontrolnej zamiast pliku (bez modyfikowania kodu źródłowego).

Ale mogę zaproponować rozsądną alternatywę: używaj kart inteligentnych OpenPGP , jak wydane przez FSFE jako karta członkowska a także dostępne do zakupu lub YubiKey Neo zdolny do OpenPGP (który symuluje kartę inteligentną OpenPGP). Po podłączeniu takiej karty do komputera roboczego będziesz mógł wykonywać operacje kryptograficzne przy użyciu klucza prywatnego przechowywanego na karcie, bez konieczności opuszczania tego klucza prywatnego przez to urządzenie. Karta zawiera własny procesor kryptograficzny, otrzyma skrót pliku i zwróci podpis z powrotem do komputera.

Jens Erat
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.