Como cambié mi clave GPG a 4096 bits

Me he enterado, gracias a la gente que realmente le preocupan estas cosas, de que es buena idea dejar de usar claves para cifrado o firma de menos de 2048 bits. Así que nada, mirando posts por ahí ya he generado mis nuevas claves, de 4096 bits. Mis referencias principales han sido el blog de Israel y, sobre todo, el de Ana. Mi proceso ha sido, resumidamente: (de resumen nada, tan solo omito algunas salidas por pantalla ;-)

  • Reconfigurar mi .gnupg/gpg.conf, añadiendo las líneas:
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
  • Generar una clave nueva, de 4096 bits:
$ gpg --gen-key
 ...        

Please select what kind of key you want:
   (1) DSA and Elgamal (default)
   (2) DSA (sign only)
   (5) RSA (sign only)
Your selection? 5
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096
Requested keysize is 4096 bits
...
  • Me ha dado como identificador: 7CC1E39B. Así que ahora añado las identidades alternativas (direcciones de correo) que utilizo, como siempre, editando esta nueva clave:
$ gpg --edit-key 0x7CC1E39B
 ...
command> adduid
  • También, he marcado el UID principal:
Command> 1

pub  4096R/7CC1E39B  created: 2010-03-13  expires: never       usage: SC  
 trust: ultimate      validity: ultimate
[ultimate] (1)* Juan Jose Amor Iglesias <XXXX@XXX.YY>
[ultimate] (2)  Juan Jose Amor Iglesias <ZZZZ@TTT.QQ>
...

Command> primary
  • Ahora ponemos las preferencias para la clave:
Command>  setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
  • Y por último, es necesario crear la subclave para cifrado (pues la principal solo vale para firmar):
Command> addkey
Key is protected.

You need a passphrase to unlock the secret key for
user: ...

Please select what kind of key you want:
   (2) DSA (sign only)
   (4) Elgamal (encrypt only)
   (5) RSA (sign only)
   (6) RSA (encrypt only)
Your selection? 6
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096
Requested keysize is 4096 bits
...
  • Finalmente, salvo todo y ya puedo subir al servidor la pública:
Command> save
$ gpg --keyserver pgp.mit.edu --send-keys 7CC1E39B

Ahora queda decidir qué hago con mi clave antigua: por un lado Ana firma su nueva clave con la antigua, mientras que Israel renuncia a la vieja clave y por tanto, la revoca. Supongo que lo más correcto es lo segundo, puesto que se trata de dejar de dar validez a claves cortas. Ya veré qué hago ;-)

___
Publicado simultáneamente en el Blog de Opensistemas.
http://blog.opensistemas.com/

BORING STORIES · FRIKADAS
gnupg openpgp

Archivo

Discusión