GPG / PGPがデフォルトで署名/暗号化に異なる鍵を使用するのはなぜですか？

22

新しいGPGキーを作成すると、デフォルトで署名のみのマスターキーペアと暗号化のみのサブキーペアが取得されます。

pub  2048R/XXXXXXXX  created: 2013-02-09  expires: 2014-02-09  usage: SC  
sec  2048R/XXXXXXXX           2013-02-09 [expires: 2014-02-09]

sub  2048R/ZZZZZZZZ  created: 2013-02-09  expires: 2014-02-09  usage: E
ssb  2048R/ZZZZZZZZ           2013-02-09 [expires: 2014-02-09]

（からの合成出力gpg --list-keysとgpg --list-secret-keys）

また、（メール/データの）通常の署名にマスターキーを使用せずに、別の署名専用サブキーを作成し、キー署名にのみ使用する安全でオフラインの場所にマスターキーを削除/バックアップすることもお勧めします。

これは、ほとんどの暗号化エンドポイントがラップトップ/電話またはその他の常時オンラインのモバイルデバイスであり、秘密鍵を盗難または紛失の危険にさらすため、理にかなっています。安全に保存されたマスターキーを使用すると、失われたサブキーをいつでも失効させ、キー署名を失うことはありません。

そのため、マスターキー<->サブキーの分離は明確ですが、署名キーと暗号化キーを分離することに重点が置かれている理由はわかりません（両方がサブキーであっても）。なぜこれが必要なのか、少なくともセキュリティまたは実用的な観点からの利点は何かを誰かが説明できますか？

技術的には、署名と暗号化のサブキーを作成することは完全に実行可能であり、GnuPGによってサポートされています。

pub  2048R/YYYYYYYY  created: 2013-08-13  expires: 2014-08-13  usage: SCEA
sub  2048R/VVVVVVVV  created: 2013-08-13  expires: 2014-08-13  usage: SEA

gnupg pgp public-key-encryption

— Chaos_99
ソース

2

Security.SEには、誰かが興味を持っている場合に備えて、この質問に対する良い答えがあります。

— GnP

9

イギリスでは、捜査権限法2000年の規制は言います

49（9）このセクションに基づく通知は、キーの開示を要求するものではありません。

（a）電子署名を生成する目的にのみ使用することを目的としています。そして

（b）実際には他の目的に使用されていない。

…つまり、英国政府は、状況によっては、復号化キー（居住者の場合）の引き渡しを強制することができますが、署名キーで偽装することは許可されていません。

1

興味深いことに、これはビットコイン秘密鍵にも適用されます（暗号化には使用されず、署名にのみ使用されます）。

— ジョナサンクロス

…そして、この免除は2016年の法律でもそのままのようです。

8

GPG / PGPがGPG / PGPが何をするのか、具体的にはわかりませんが、この種のことに対する考えられる動機の1つは災害復旧です。暗号化秘密鍵のコピーを非常に親しい信頼できる友人に渡すことができます。そのため、家がmet石に見舞われた場合でも、クラウドに保存されている古いメッセージを読むことができます。（同様に、上司に暗号化キー¹を渡す必要がある場合があります。そうすれば、上司はあなたが去った後にあなたのメールを読むことができます。）

しかし、他の誰かがあなたの署名鍵ペアのコピーを持っている理由はありません。
________________
¹ 「暗号化キーを提供する必要があるかもしれません」誰かに— TEVの答えを参照してください。

— スコット
ソース

2

簡単な答えは、キーを使用するほど、キーに関する情報が多くなるということです。

署名キーは、ユーザーがキーを信頼していることを認証するために使用され、所有者を推測することによって使用されますが、さらに重要なことは、ユーザーからの通信であることです。これは否認防止と呼ばれます。

議論のために、キーを10000回使用すると、誰かがそのキーを再構築するために必要なすべての情報を漏らすことを意味するとしましょう。1つのキーを> 9999回使用すると、他の誰かが潜在的にあなたになりすまして、信頼できる署名を悪意のある第三者のキーまたはドキュメントに伝え、すべての信頼できるネットワークに、このパーティがあなたまたはドキュメントがあなたから来たと信じ込ませる可能性があります。

ただし、同じキーを使用して暗号化する場合は、より迅速にしきい値に達します。

潜在的な迷惑を回避するために、暗号化/復号化にのみ使用される2番目のキーが作成されます。これは、ユーザーとしてデータを暗号化するためにのみ使用されます。このキーが9999回使用されると、有効な署名キーで渡したすべての信頼を失うことなく、このキーを期限切れにすることができます。キーを再生成し、新しい暗号化キーを生成し、署名キーで署名して、これが誰もが検証できる信頼できる暗号化キーであることを示します。

編集：

上記で書いた内容とGNUプライバシーハンドブックを読み直すと、~~私の結論はsub秘密鍵~~でpubあり、公開鍵でなければなりません。@GnPこの答え：

「The keyword pub identifies the public master signing key, and the keyword sub identifies a public subordinate key.」

— ダニエル・W・クロンプトン
ソース

ほとんどの人にとって、ほとんどすべてのメールが署名されますが、暗号化されるのは一部のメールだけであるため、署名キーは暗号化キーよりも頻繁に使用されます。この場合、gpg-defaultはencrのように間違った方法です。キーは簡単に変更できますが、署名キーは簡単に変更できません。

— Chaos_99

通常、他の人の公開鍵で暗号化するので、これはやや論理的に聞こえますが、これにはおそらく私が気づいていない十分な理由があります。

— ダニエルW.クロンプトン

あなたが正しいです。私のコメントで「暗号化」と「復号化」を交換してください。しかし、ポイントは有効なままです。復号化するよりも頻繁に署名します。この質問をして、あなたが言った「おそらく良い理由」を正確に見つけました。

— Chaos_99

1

マスターとサブキーの両方が、公開キーと秘密キーを持つ有効なキーペアです。プライベートサブキー「ssb」のプライベートマスターの略語は「sec」です。両方ともで見ることができますgpg --list-secret-keys。上記のリストには、から返された公開鍵のみが表示されgpg --list-keysます。

— Chaos_99

1

「キーを使用すればするほど、そのキーについてより多くの情報が漏洩します」その主張の情報源はありますか？

— GnP

0

新しいGPGキーを作成すると、デフォルトで署名のみのマスターキーペアと暗号化のみのサブキーペアが取得されます。

メッセージには次のものがあります。

署名されておらず暗号化されていない
署名され、暗号化されていない
署名されておらず暗号化されている
署名および暗号化

署名と暗号化で何を達成しようとしているかによって、これらの各ケースに用途があります。

署名することでID /承認を確立し、暗号化することでメッセージを非公開にしている場合、暗号化できるが署名はできないため、必ずしも個人に関連付けられていない、またはユーザーが承認しているわけではないプライベートメッセージを送信できます。この場合、個別のキーが必要になります。

— ローレンスC
ソース

2

間違っている場合は修正してください。ただし、メッセージを暗号化するときは、受信者の（公開）キーを使用するので、手元に残った後は追跡できません。あなたの他の人があなたに暗号化されたメッセージを送信するために暗号化キーがあります。

— スコット14年

@Scottはい。ただし、ほとんどの人は通常、デフォルトのキーセットも持っているので、送信トレイにあるものを読み取って、通常はデフォルトの署名を指定できます。ただし、これらの場合、マスター/認証キーのキーIDは正しいサブキーを選択するために使用されます。

— ベン