Pourquoi ne devrais-je pas apporter un ordinateur à un signataire clé?
Je regarde la description de l'événement pour la partie signataire lors d'une prochaine conférence BSD , et il est mentionné que je ne devrais pas apporter mon ordinateur à l'événement:
Choses à apporter
- pas d'ordinateur
Quels risques comporte l'introduction d'un ordinateur dans un groupe de signature de clés?
Citation de Wikipedia :
Bien que les clés PGP soient généralement utilisées avec des ordinateurs personnels pour des applications liées à Internet, les parties signataires clés elles-mêmes n'impliquent généralement pas d'ordinateurs, car cela donnerait aux adversaires des possibilités accrues de subterfuge . Les participants écrivent plutôt une chaîne de lettres et de chiffres, appelée empreinte digitale de clé publique, qui représente leur clé. L'empreinte digitale est créée par une fonction de hachage cryptographique, qui condense la clé publique en une chaîne plus courte et plus gérable. Les participants échangent ces empreintes digitales tout en vérifiant leur identification mutuelle. Ensuite, après la fête, ils obtiennent les clés publiques correspondant aux empreintes digitales qu'ils ont reçues et les signent numériquement.
un autre de openwest :
Si vous apportez un ordinateur, veuillez le garder dans votre sac et éteint pendant la fête. Il s'agit de mesures de sécurité visant à empêcher la propagation de logiciels malveillants, le mauvais placement des clés privées et le matériel endommagé ou mal placé .
Premièrement, cette déclaration ne signifie pas "n'apportez pas d'ordinateur"; cela signifie "vous n'avez pas besoin d'apporter un ordinateur". De nombreuses personnes se rendant à leur première partie de signature de clés sont susceptibles de supposer que, puisque les clés sont destinées à être utilisées sur des ordinateurs, elles devront apporter un ordinateur contenant leurs clés, signatures ou logiciel de cryptage. Ce qui se passe réellement, c'est que la vérification des clés s'effectue à l'aide d'empreintes digitales sans ordinateur et est entrée dans une base de données en ligne après l'événement à partir des ordinateurs des participants à la maison.
Deuxièmement, comme un ordinateur n'est pas utilisé au niveau de la partie signataire clé, il est généralement déconseillé d'amener un ordinateur à une partie signataire clé. La présence d'ordinateurs inutiles lors d'un événement de ce type représente un risque de sécurité important, car un participant malveillant pourrait utiliser l'ordinateur d'un autre participant pour signer sa propre clé avec la signature de l'autre participant, ou il pourrait même voler les clés privées d'autres personnes ou distribuer des logiciels malveillants. En bref, les ordinateurs ne sont pas nécessaires lors des parties de signature de clés et leur présence présenterait tous les risques de sécurité que les ordinateurs entraînent intrinsèquement, ce qui n'est jamais une bonne idée lorsque ces ordinateurs sont susceptibles de contenir des clés de chiffrement privées, donc la plupart des parties de signature de clés préfèrent que les participants écrivent les empreintes digitales des clés publiques sur du papier et gardent leurs clés privées en sécurité à la maison.
C'est une question de rapidité et de commodité, pour la plupart.
Vos options de base pour signer une clé:
Les deux participants installent leurs ordinateurs côte à côte, l'un lit leur empreinte digitale, l'autre vérifie en même temps, puis la clé est signée immédiatement.
Un participant montre son écran d'ordinateur avec l'empreinte digitale à l'autre, qui écrit l'empreinte digitale.
Le signataire remet un petit morceau de papier avec sa photo d'identité, et le signataire conserve le papier.
Il est évident que la méthode 3 est beaucoup plus rapide que les deux autres. En demandant aux gens de ne pas apporter d'ordinateurs, on leur demande implicitement d'apporter suffisamment de copies de leur clé, ou de s'inscrire au préalable pour pouvoir distribuer une liste d'empreintes digitales (vous devrez vérifier que la clé du fichier est bien la vôtre, et ils le feront). lire une somme de contrôle du fichier au début).
Plug sans vergogne: si vous n'avez que ASCII caractères en votre nom, le gpg-key2ps le script peut vous être utile - c'est toujours une bonne idée d'avoir quelques clés dans votre poche.