Как изменить ключ по умолчанию для данного идентификатора пользователя в GnuPG?

Question

У меня есть два ключа для моего основного идентификатора пользователя: старый и более длинный, который я сгенерировал совсем недавно. Я больше не использую старый. Я установил ключ по умолчанию на новый, используя опцию default-key в ~/.gnupg/gpg.conf .

Однако некоторые инструменты переопределяют настройки по умолчанию, например, вызывают git tag -s , который вызывает gpg -bsau DEFAULT_COMMITTER_EMAIL_ADDRESS под капотом. (Это разумно, потому что мой адрес электронной почты коммиттера по умолчанию может не совпадать с моим основным идентификатором пользователя для gpg.) Похоже, это заставляет GnuPG использовать первый найденный ключ, который соответствует идентификатору пользователя, обычно самый старый.

Я могу исправить это в моей конфигурации git, установив там ключ по умолчанию, но я бы предпочел, чтобы этот дубликат не был установлен (потому что в моем случае все идентичности одинаковы).

Мне удалось обойти это, удалив старые ключи из моего набора ключей, а затем повторно добавив их (что, кажется, добавляет их в конце). Затем мой новый (предпочтительный, по умолчанию) ключ появляется первым в gpg --list-secret-keys , и, следовательно, это первое совпадение, возвращенное для моего идентификатора пользователя.

Есть ли способ избежать этого обходного пути (который я должен был бы повторять каждый раз, когда я генерирую новый ключ)?

Answer 1

Для GnuPG такой опции конфигурации нет. В любом случае разумно определить отдельный ключ (по отпечатку пальца или, по крайней мере, по длинному идентификатору ключа из-за атак со стороны коллизий): злоумышленники вполне могут отправить вам закрытые ключи для ваших идентификаторов пользователей, которые вы gpg --import ожидая некоторого открытого ключ и забрать незамеченным.

Кроме того, работа с большим количеством первичных ключей OpenPGP для одного и того же идентификатора пользователя и регулярный обмен ими также могут быть не лучшей практикой (рассмотрите обсуждение в разделе «Сколько ключей OpenPGP я должен сделать?»).") Мало того, что это смущает других («Какой из этих ключей использовать?"), но это также противоречит любым сертификатам и вашей интеграции в сеть доверия OpenPGP каждый раз, когда вы катите свой первичный ключ. Подумайте, можно ли адаптировать придерживание с помощью одного (с высокой степенью защиты, может быть, даже хранящегося в автономном режиме) и скользящих подразделов в соответствии с вашим вариантом использования - это напоминает то, что можно назвать наилучшей практикой в настройках ключей OpenPGP (хотя есть место для обсуждения и изменений, конечно).