Какой минимальный объем данных мне нужен, чтобы подписать файл?
Допустим, у меня есть файл размером в несколько гигабайт на рабочем компьютере, и (2) у меня есть личный ключ GnuPG на домашнем компьютере. Я хочу подписать действительно большой файл своим закрытым ключом.
Я полностью доверяю своему домашнему компьютеру.
Я до некоторой степени доверяю рабочему компьютеру, я полагаю, что в настоящий момент на нем не работает вредоносный код, я надеюсь, что никто не возится с функциями хеширования, и я верю, что сетевое соединение между работой и домом является безопасным и -altered. Чего я не хочу, так это сохранить мой очень ценный закрытый ключ на рабочем компьютере, даже временно.
Я также не хочу тратить 4 часа на передачу действительно большого файла через Интернет с работы на дом. Какой минимальный объем данных мне нужно отправить между рабочим и домашним компьютерами, чтобы подписать файл своим закрытым ключом?
Я пытаюсь выяснить, если все, что делает PGP, это подписать хеш файла, могу ли я хэшировать файл на рабочем компьютере, а затем отправить хэш (вместе с любыми другими необходимыми метаданными) на Домашний компьютер должен быть подписан, прозрачно, как будто у меня действительно был файл в руках?
SSH имеет функции переадресации агентов. Есть ли подобная функция в GnuPG, или мне нужно изменить исходный код, если я хочу создать что-то подобное?
1 ответ
Все, что вам действительно нужно, - это правильная хеш-сумма файла, но я не знаю, чтобы GnuPG или любая другая реализация создавала подпись из хеш-суммы вместо файла (без изменения исходного кода).
Но я могу предложить разумную альтернативу: использовать смарт-карты OpenPGP, такие как выпущенные FSFE, в качестве членской карты и также доступные для покупки, или YubiKey Neo с поддержкой OpenPGP (который имитирует смарт-карту OpenPGP). С такой картой, подключенной к вашему рабочему компьютеру, вы сможете выполнять криптографические операции с использованием закрытого ключа, хранящегося на карте, без того, чтобы этот закрытый ключ никогда не покинул это устройство. Карта содержит собственный криптографический процессор, получит хэш файла и вернет подпись обратно на компьютер.