Utilisation de la CEC pour la clé PGP-MASTER en combinaison avec YUBIKEY

Question

J'ai acquis un YUBIKEY NEO le mois dernier. Maintenant, je veux utiliser la fonctionnalité de la carte à puce pour PGP. J'ai suivi les guides officiels sur le site Web Yubico l'ont testé avec 2048 clés RSA et cela a bien fonctionné. Mais si je perdrais la clé, j'aurais un problème, car la principale clé privée était uniquement stockée sur le Yubikey. J'ai donc essayé une autre approche. J'ai créé une clé sur mon ordinateur et l'a utilisé pour générer trois sous-fonds, une pour la signature, une pour l'authentification et une pour cryptage. Ensuite, j'ai déplacé les trois sous-classeurs sur le Yubikey. Je voulais stocker ma clé principale dans un endroit sûr et je voulais le Yubikey pour une utilisation quotidienne. J'ai utilisé RSA 4096 pour ma clé principale et RSA 2048 pour les sous-clés car le YUBIKEY ne prend pas en charge de plus grandes touches. Cela a fonctionné aussi bien.

Question:

GPG prend en charge la CEC dans les versions plus récentes. Est-il possible de créer une clé principale à l'aide de CEC au lieu de RSA (les sous-clés seraient toujours RSA) et serons-je en mesure de communiquer avec d'autres personnes (à l'aide de mes sous-clés) qui utilisent des systèmes qui ne supportent pas encore ECC? Et seront-ils en mesure de signer ma clé et je les est sans problèmes?

Question:

GPG prend en charge la CEC dans les versions plus récentes. Est-il possible de créer une clé principale à l'aide de CEC au lieu de RSA (les sous-clés seraient toujours RSA) et serons-je en mesure de communiquer avec d'autres personnes (à l'aide de mes sous-clés) qui utilisent des systèmes qui ne supportent pas encore ECC? Et seront-ils en mesure de signer ma clé et je les est sans problèmes?

Jens Erat · Accepted Answer

Tout d'abord, sachez que le YUBIKEY ne prend pas en charge les touches ECC (mais je ne lis pas votre question que vous avez supposée que).

Si vous utilisez une clé primaire ECC, d'autres personnes utilisant des plus anciennes implémentations de GNUPG ne prenant pas en charge les touches ECC (ainsi que tout avant GnuPG 2.1) ne pourront pas vérifier votre clé principale ni vos signatures publiées par vous, car elles ne comprennent pas les nouveaux algorithmes. Donc, dans l'ensemble, les personnes qui courent des versions pré-ECC de GNUPG seront en mesure de

signer votre clé
recevoir des messages encygés par vous (votre clé n'est pas impliquée du tout)
envoyez-vous des messages signés à vous (votre clé n'est pas impliquée du tout)

mais pas être capable de

vérifier les signatures/certifications émises par vous
validez votre clé (qui comprend la vérification d'une auto-signature)
vérifiez les signatures émises par votre sous-clé RSA, car la signature de liaison de la sous-clé doit être validée avant
envoyer des messages cryptés à une sous-clé de cryptage ECC
envoyer des messages cryptés à une sous-clé de cryptage RSA, car la signature de liaison de la sous-clé doit être validée avant

Signature de votre clé est possible, car aucune cryptographie avec votre clé publique doit être effectuée, mais le signature est simplement en train de calculer une signature (en utilisant sa propre clé) sur l'empreinte digitale de votre clé.

PS: J'ai vérifié ces opérations entre GnuPg 1.4 et 2.1, comme j'avais des attentes, mais je ne savais pas si GNUPG les rencontre réellement.