primera transición a nuevas llaves gpg

seguridad
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1,SHA512

Miércoles 24 de Junio del 2020

Por una serie de razones [0], he creado una nueva clave OpenPGP,
y voy a abandonar mi antigua clave para empezar a usar la nueva.

La clave antigua continuará siendo válida unos meses más, pero
prefiero que cualquier intercambio futuro use la nueva clave.
Así mismo me gustaría reintegrar la nueva clave en la red de
confianza actual. Este mensaje está firmado por ambas claves
para certificar la transición.

La clave antigua era:

pub   dsa1024 2005-08-13 [SCA] [caduca: 2021-01-02]
      3119 5A09 CE9E 4928 B968  A637 9787 4067 2871 11EE

Y la nueva clave es:

pub   rsa4096 2012-08-04 [SC] [caduca: 2025-01-02]
      E621 201E 1ACF 773F 2AE0  CC75 B213 173E 97C0 5035

pub   ed25519 2019-01-21 [SC] [caduca: 2025-01-02]
      A185 0AB9 51CB 1794 253E  16B2 F27F D79F F28F 0FCE

Para obtener la nueva clave completa, la puedes descargar desde
un servidor de claves pública cualquiera (yo suelo usar
hkps://keys.openpgp.org) con la orden:

  $ gpg --recv-key E621201E1ACF773F2AE0CC75B213173E97C05035

  $ gpg --recv-key A1850AB951CB1794253E16B2F27FD79FF28F0FCE

Si ya tenías mi antigua clave, puedes verificar que la nueva
clave está firmada por la antigua con:

  $ gpg --check-sigs E621201E1ACF773F2AE0CC75B213173E97C05035

  $ gpg --check-sigs A1850AB951CB1794253E16B2F27FD79FF28F0FCE

Si no tenías mi antigua clave, o deseas ser doblemente extra
paranóico, puedes comprobar la huella de la nueva clave,
comparándola con la que se muestra arriba con:

  $ gpg --fingerprint E621201E1ACF773F2AE0CC75B213173E97C05035

  $ gpg --fingerprint A1850AB951CB1794253E16B2F27FD79FF28F0FCE

Si estás convencido de que tienes la clave correcta, y los UID's
concuerdan con lo que esperabas, te agradecería que firmaras mi
nueva clave con:

  $ gpg --sign-key E621201E1ACF773F2AE0CC75B213173E97C05035

  $ gpg --sign-key A1850AB951CB1794253E16B2F27FD79FF28F0FCE

Por último, si pudieras subir estas nuevas firmas, te lo
agradecería.

Para ello puedes enviarme un mensaje de correo con las nuevas
firmas (si tienes un servidor de correo operativo en tu
sistema):

  $ gpg --export E621201E1ACF773F2AE0CC75B213173E97C05035 \
    | gpg --encrypt -r E621201E1ACF773F2AE0CC75B213173E97C05035 \
    --armor | mail -s 'OpenPGP Signatures' <tuxsoul@tuxsoul.com>

  $ gpg --export A1850AB951CB1794253E16B2F27FD79FF28F0FCE \
    | gpg --encrypt -r A1850AB951CB1794253E16B2F27FD79FF28F0FCE \
    --armor | mail -s 'OpenPGP Signatures' <tuxsoul@tuxsoul.com>

O puedes simplemente subir las firmas a un servidor de claves
públicas directamente:

  $ gpg --send-key E621201E1ACF773F2AE0CC75B213173E97C05035

  $ gpg --send-key A1850AB951CB1794253E16B2F27FD79FF28F0FCE

Además, te recomiendo implementar un mecanismo para mantener la
clave actualizada, para que puedas obtener las últimas
revocaciones y otras actualizaciones de una manera oportuna.
Puedes realizar actualizaciones de clave periódicas utilizando
parcimonie [1], para refresca tu anillo de claves. Parcimonie es
un demonio que refresca lentamente tus claves de un servidor
sobre Tor. Utiliza un sueño aleatorio y nuevos circuitos Tor
para cada clave. El propósito es dificultar que un atacante
correlacione las actualizaciones de cada clave con tu anillo de
claves.

Por favor hazme saber si tienes cualquier pregunta o problema, y
disculpa las molestias.

Mario Oyorzabal Salgado

[0] https://www.debian-administration.org/users/dkg/weblog/48
[1] https://gaffer.ptitcanardnoir.org/intrigeri/code/parcimonie/

-----BEGIN PGP SIGNATURE-----

iF0EARECAB0WIQQxGVoJzp5JKLlopjeXh0BnKHER7gUCXvMcVAAKCRCXh0BnKHER
7ifWAJ9Fy24mGeciiMcU6O0DVHBREPQvCwCffP9dmOFrS5QOlKJvE2VzCnrO/cGJ
AjMEAQEKAB0WIQTmISAeGs93PyrgzHWyExc+l8BQNQUCXvMcVAAKCRCyExc+l8BQ
NXXUD/9ZrmtkqHrNMSxXuSjoaXbrdlnB1ZvlKfcoXiiwKZdGAVxMC7DWKNzzZ6KP
DLYoCYB+MqCFWJ2MRCHJMXOFiimsVgFeoJNgAGIuUINWp+mzhgt05p7rVkghAVk4
lo+lZEl+gdYXzqdkNEGNeCtAM1mlmFn0Uk91Xjc4S2npM8nvItS2kpoPxJprNzk5
59wSBChpAqpc9ThjAn9cWPeZmAWQqd9Am7Ojr/ZVkoyqDdesoOKPFNOXYMTB2dY1
LMxB3RIe9DTF9kpS3tK4hXbn7UP/smQ+05UI1Qai5AJ6cglfDSZulcruX9Bxdxg5
PRgCDDSM9n9T/14AJzgIdwVTN86pjzsEb96f7nmiln8g7AVjWaaYH4wD/JSCi2fR
GM1oJTSRQhS3u0KTKLpVD2VPiln/8MS44SeXzLGuSA/YwTmuLzQfjmzZJFujf7W/
/hLDG50GjJ4QWQnWGO5jNoW0V+XvHu7NBL+qM5dz0OJ7xn9md1SVlf8cg//g+1Ff
7O0EKgJw8lARVO/zh85E3Obcz/WPcrGxtZSYJ8KHHqg/OCcmEA6t5PKjodhaAczR
V568L62OWVgAzPFCaMySpKHL5AUSoOp+TVPn+a/WJC3LnVMdS20pC5LOV0G6bd3u
c3supgKAriV44IwACrs3raLv+l/8fyBwBeDptgxTDFg+SGiACoh1BAEWCgAdFiEE
oYUKuVHLF5QlPhay8n/Xn/KPD84FAl7zHFQACgkQ8n/Xn/KPD84pegEA435qRIWo
ocTnYZynkxjtDzQxnZbaq5XLJbeWdiN/+CgBANFZCjXrjEY3tHYy/nAE4/KAILhD
vkfLHGJ02fJeRu0M
=o2am
-----END PGP SIGNATURE-----

 


Deja un comentario