Powiedzmy, że mam plik o rozmiarze wielu gigabajtów na a praca komputer i (2) Mam mój prywatny klucz GnuPG na moim Dom komputer. Chcę podpisać naprawdę duży plik kluczem prywatnym.
Ufam mojemu Dom komputer całkowicie.
Ufam praca do pewnego stopnia komputer, ufam, że w tej chwili nie działa na nim szkodliwy kod, ufam, że nikt nie bawi się funkcjami haszującymi i ufam połączeniu sieciowemu między praca i Dom jest bezpieczny i niezmieniony. Co ja nie rób chcę zrobić to uratować moje bardzo cenny klucz prywatny na stronie praca komputer, nawet tymczasowo.
Nie chcę też spędzać 4 godzin na przesyłaniu naprawdę dużego pliku przez Internet praca do Dom . Co to jest minimalna ilość danych Muszę wysłać między praca i Dom komputery w celu podpisania pliku kluczem prywatnym?
Próbuję się dowiedzieć, czy wszystkie PGP robią to podpisując skrót pliku, czy jest możliwe, aby zmieścić plik na praca komputer, a następnie wyślij skrót (wraz z innymi wymaganymi metadanymi) do Dom komputer, który ma być podpisany, w sposób przejrzysty, tak jakbym rzeczywiście miał plik w ręku?
SSH ma funkcje przekazywania agentów. Czy istnieje podobna funkcja już w GnuPG, czy musiałbym zmodyfikować kod źródłowy, jeśli chciałbym stworzyć coś takiego?
źródło
Odpowiedzi:
Wszystko, czego potrzebujesz, to odpowiednia suma kontrolna pliku, ale nie wiem, czy GnuPG lub jakakolwiek inna implementacja tworzy podpis z sumy kontrolnej zamiast pliku (bez modyfikowania kodu źródłowego).
Ale mogę zaproponować rozsądną alternatywę: używaj kart inteligentnych OpenPGP , jak wydane przez FSFE jako karta członkowska a także dostępne do zakupu lub YubiKey Neo zdolny do OpenPGP (który symuluje kartę inteligentną OpenPGP). Po podłączeniu takiej karty do komputera roboczego będziesz mógł wykonywać operacje kryptograficzne przy użyciu klucza prywatnego przechowywanego na karcie, bez konieczności opuszczania tego klucza prywatnego przez to urządzenie. Karta zawiera własny procesor kryptograficzny, otrzyma skrót pliku i zwróci podpis z powrotem do komputera.
źródło