Un auditor recomienda: Recomendamos que se vuelva a programar el entorno PGP utilizando los estándares requeridos por la industria (ISO x9.8 y x9.24) de “conocimiento dividido y control dual”.
¿Hay algo que nos falta?: esto requeriría que los archivos cifrados se descifren con dos personas cada vez que se accede/carga la clave.
¿Existen casos de uso con claves PGP en los que esto tenga sentido?
Respuesta1
Si tiene una clave de empresa que se utilizó para firmar las claves individuales de las personas, sí, debe estar protegida con contraseña y la contraseña debe dividirse entre al menos dos personas. Las claves individuales también deben estar protegidas con contraseña, pero el conocimiento dividido no es necesario ni recomendado para la mayoría de los propósitos.