On Wed, Jul 05, 2006 at 01:09:24PM +0400, Aleksey Avdeev wrote:
> Dmitry V. Levin пишет:
> > On Tue, Jul 04, 2006 at 04:24:07PM +0400, Aleksey Avdeev wrote:
> > [...]
> > 
> >>  84147704 -- Мой основной, бессрочный, ключ. Им подписаны мои срочные
> >>подключи используемые для подписи/шифрования. На данный момент (если
> >>запутался неокончательно) это 1667DA21 (шифрование, до 2009-03-21) и
> >>455F827A (подпись, до 2010-03-21). Ранее был 1218C973, но он устарел, и
> >>сейчас отозван (выкладываю incoming:/incoming/Sisyphus/solo.asc).
> >>
> >>  Судя по документации к gpg -- такая конфигурация корректна. Если
> >>ошибаюсь -- прошу объяснить в чём именно.
> > 
> > 
> > Такая конфигурация корректна.  А в чём её преимущество?
> 
>   Сложилось впечатление, что это достаточно удобный компромисс между
> безопасностью и удобством: С одной стороны -- отсутствует опасность
> просрочить основной ключ, а с другой -- ключ используемый для подписи по
> факту всётаки меняется. + достаточно просто воспользоваться устаревшим
> подключём, если это будет необходимо (например, подписать письмо с новым
> подключём).

Срок годности ключей можно продлевать.

Поскольку основной ключ и подключ хранятся вместе и защищены одним
паролем, безопасность от того что их два вместо одного не растёт.

Если вам нужна бОльшая безопасность, сделайте специальный главный ключ для
подписи своих временных ключей, и храните этот ключ в недоступном месте.


-- 
ldv