[GTER] Documento explicativo. Assinaturas de chaves GPG/PGP, Keysigning Party, GTS 24, 28/11/2014 de 17:00 às 17:20

Henrique de Moraes Holschuh hmh at hmh.eng.br
Wed Nov 26 07:52:07 -02 2014


On Tue, 25 Nov 2014, Danton Nunes wrote:
> On Tue, 25 Nov 2014, Marcos Tadeu wrote:
> >Opa! Vão assinar chaves do período mesozóico também?
> >pub   1024R/476329CD 1997-02-14
> 
> você era você mesmo no período mesozóico, então, por que não?

Porque quando as chaves ficam fracas, como é o caso de uma 1024R hoje em
dia, existe o risco de evoluirem igual a um pokemon que deu de cara com o
Satan Goss do Jaspion.  Seja lá o que sair dalí, não vai ser boa coisa, e
vai precisar chamar o Godzilla para "pacificar".

Em outras palavras, 1024R é fraquinha demais para confiar que só o Tadeu vai
ter a chave secreta do par.  Melhor seria criar uma chave novinha em folha,
4096R ou melhor.  E já criada usando SHA2-256 internamente.

Afinal de contas, para que você quer uma chave insegura assinada? Se é para
usar a chave para proteger alguma coisa, crie uma nova que seja segura.

E aumentar a legitimidade de uma chave fraca é um potencial perigo para a
identidade do dono da chave.  Pense nisso.

-- 
  "One disk to rule them all, One disk to find them. One disk to bring
  them all and in the darkness grind them. In the Land of Redmond
  where the shadows lie." -- The Silicon Valley Tarot
  Henrique Holschuh



More information about the gter mailing list