Berapa jumlah minimum data yang saya perlukan untuk menandatangani file?

2

Katakanlah saya memiliki file multi-gigabyte di komputer kantor , dan (2) Saya memiliki kunci GnuPG pribadi di komputer rumah saya . Saya ingin menandatangani file yang sangat besar dengan kunci pribadi saya.

Saya sepenuhnya mempercayai komputer di rumah saya .

Saya percaya komputer kerja pada tingkat tertentu, saya percaya bahwa tidak ada kode berbahaya yang sedang berjalan saat ini, saya percaya tidak ada yang mengutak-atik fungsi hashing, dan saya percaya koneksi jaringan antara kerja dan rumah aman dan tidak -berubah. Yang tidak ingin saya lakukan adalah menyimpan kunci pribadi saya yang sangat berharga di komputer kantor , bahkan untuk sementara waktu.

Saya juga tidak ingin menghabiskan 4 jam mengirimkan file yang sangat besar melalui internet dari kantor ke rumah . Berapa jumlah minimum data yang saya perlu kirim antara komputer kerja dan komputer rumah untuk menandatangani file dengan kunci pribadi saya?


Apa yang saya coba cari tahu adalah jika semua PGP tidak menandatangani hash file, apakah mungkin bagi saya untuk hash file di komputer kerja , dan kemudian mengirim hash (bersama dengan metadata lain yang diperlukan) ke komputer rumah harus ditandatangani, secara transparan, seolah-olah saya benar-benar memiliki file di tangan?

SSH memiliki fitur penerusan agen. Apakah sudah ada fitur serupa di GnuPG, atau apakah saya perlu memodifikasi kode sumber jika saya ingin membuat sesuatu seperti ini?

IQAndreas
sumber
Hanya kunci pribadi yang dapat menandatangani file. Jadi, jika Anda tidak mau mentransfer file ke lingkungan dengan kunci privat dan Anda tidak mau mentransfer kunci privat ke lingkungan dengan file Anda tidak punya pilihan lain.
Ramhound
@Ramhound Tidak, kunci pribadi menandatangani hash file (yang berukuran sangat kecil), bersama dengan beberapa data lain, bukan file itu sendiri.
IQAndreas
Anda benar-benar menggunakan kata-kata "saya ingin menandatangani file yang sangat besar dengan kunci pribadi saya" Saya yakin Anda benar. Saya menghargai umpan balik Anda dan akan mempertimbangkannya di masa depan.
Ramhound

Jawaban:

1

Yang Anda butuhkan sebenarnya adalah jumlah hash yang sesuai dari file tersebut, tetapi saya tidak sadar untuk membuat GnuPG atau implementasi lainnya yang membuat tanda tangan dari jumlah hash alih-alih file (tanpa memodifikasi kode sumber).

Tetapi saya dapat mengusulkan alternatif yang masuk akal: menggunakan kartu pintar OpenPGP , seperti yang dikeluarkan oleh FSFE sebagai kartu keanggotaan dan juga tersedia untuk membeli, atau YubiKey Neo yang mampu OpenPGP (yang mensimulasikan kartu pintar OpenPGP). Dengan kartu yang terhubung ke komputer kerja Anda, Anda akan dapat melakukan operasi kriptografi menggunakan kunci pribadi yang tersimpan di kartu tanpa kunci pribadi ini pernah meninggalkan perangkat itu. Kartu tersebut berisi prosesor kriptografiknya sendiri, akan menerima hash file dan mengembalikan tanda tangan kembali ke komputer.

Jens Erat
sumber