3

Я пытаюсь использовать gpg для шифрования и подписи сообщений, но я использую разные компьютеры (настольный компьютер, ноутбук, офис), поэтому я не уверен, как управлять закрытыми ключами в этих средах.

Должен ли я использовать копию секретного ключа на каждом компьютере или, возможно, мне придется использовать разные подключи для каждой среды. Это даже возможно / рекомендуется?

Обновить

Должен ли я использовать --export-secret-subkeys для экспорта моего закрытого ключа в мою рабочую среду без ущерба для мастер-ключа? Могу ли я использовать другую парольную фразу для разных ключей / сред?

|источник

2 ответа2

2

Ваш ключ PGP на самом деле содержит больше, чем просто главный ключ (используется для подписи других ключей и ваших собственных подразделов и того, что на самом деле подписано другими пользователями): один подраздел для подписи сообщений (необязательно, обычно это сам главный ключ, но не обязательно ) и один для шифрования контента. Больше информации о Debian Wiki и Руководстве по конфиденциальности GNU.

Так... Вы можете хранить свой мастер-ключ только на защищенном устройстве, что позволит вам обмениваться ключами подписи и шифрования без необходимости проверять и подписывать новые ключи. Сохраняя ваш главный ключ в надежном хранилище, вы можете иметь более жесткую политику ротации ключей, не создавая слишком много работы для других. Кроме того, даже в случае подозрения или подтверждения лукавого секретного материала вы можете отозвать его без особых хлопот.

Я лично использую настройку из двух подразделов (также проверяю этот вопрос), не только для того, чтобы сохранить разумно безопасный мастер-ключ, но и потому, что я использую ключи разных размеров: мастер-ключ имеет 4096 битов, подразделы подписи и шифрования имеют только 3072 бит.

С другой стороны, если среды не сильно перекрываются, было бы лучше использовать совершенно разные ключи PGP, что значительно минимизирует ущерб от любой возможной уязвимости.

Кроме того, вы можете (должны) использовать очень длинные случайные парольные фразы для ключей на наименее защищенных устройствах.

|источник
0

Нет способа прикрепить подраздел к определенному идентификатору пользователя. Нет даже способа определить какие-либо предпочтения, для которых подключи должны использоваться другими для шифрования; большинство реализаций будет просто использовать новейшую.

Если вы хотите только подписать, хорошо использовать несколько подразделов (если есть только один подписывающий подраздел, будет выбран этот). Если вы хотите получать зашифрованную почту,

  • либо используйте один (суб) ключ шифрования, которым вы будете обмениваться при необходимости (обмен подразделами дешев и прост) или
  • используйте несколько первичных ключей для разных мест /"ролей", например, личных и рабочих.
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .