Ci sono molte domande che ho su GnuPG, ma ciò che mi impedisce di chiedere è sapere che potrei aggiungere l'output a una domanda che non dovrei pubblicare pubblicamente.
È un rischio incollare il risultato di gpg -K ?
Che dire di gpg --edit [email protected] ?
Gli output delle impronte digitali tutti sono ok per vedere?
Ci sono altri dati che dovrei escludere dalle domande?
Sto usando gpg (GnuPG / MacGPG2) 2.0.27 con libgcrypt 1.6.3.
Nascondere la tua chiave privata è ovvio e l'hai già notato.
L'unica cosa ulteriore non da pubblicare (senza intenzione di farlo) è il certificato di revoca che potresti avere pregenerato (e GnuPG 2.1 lo fa per impostazione predefinita per un buona ragione). Con tale certificato di revoca, altri potrebbero revocare la chiave caricandola sui server delle chiavi. Condividere con un amico fidato o un membro della famiglia potrebbe essere una buona cosa da fare: potrebbero comunque revocare la tua chiave nel caso ti accadesse qualcosa (considerala una sorta di ultima volontà digitale).
Altre cose non sono un problema. Se pubblichi la tua chiave pubblica (o impronta digitale, indirizzo e-mail, ID utente: tutti questi potrebbero essere utilizzati per recuperare la chiave da un server delle chiavi, dato che è stata caricata, e se usi la chiave, aspetta per essere caricato da qualcuno per errore o intento). Questo potrebbe consentire di collegare il tuo account Stack Exchange con la tua vera identità (che d'altra parte non sembra essere un problema per te, guardando il tuo profilo).
Da tutte le ulteriori informazioni come ID chiave, impronte digitali, ID utente, ... né la tua chiave privata né il certificato di revoca possono essere calcolati. Gli ID chiave sono le parti inferiori dell'impronta digitale, che viene nuovamente calcolata dal momento della creazione della chiave e della chiave pubblica.
Se non vuoi rivelare la tua identità, tieni presente quando pubblichi i dati crittografati e / o firmati per / dalla tua chiave, anche se le parti della striscia dell'armatura ASCII o dell'output binario; o pubblicare parti dalla tua chiave pubblica. Include l'intera impronta digitale chiave e lo fa nelle primissime parti. Se hai qualcosa di simile
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
owEBOgLF/ZANAwACAY545E37G1XpAcsKYgBV6J49Zm9vCokCHAQAAQIABgUCVeie
PQAKCRCOeORN+xtV6fZxD/oCEDFuXBwdF07UDZOh0v2x7CX7UmruCRs2MwcmZoHV
Uiiag9ibc3951pxCdNfDdB6rKKYc4fqqkMOTFqdi9DXBs6u7r8oiuuDTpqSJxyaM
lgUTiE/8oiF2/JtLgrFTVr5Kq7tgSs5WJ++zW0bPBNQHZoQ58fQsuAc0cn408m1j
[snipped some lines for assumed privacy]
iJiQoufmmGZdXFhFKW3hVxabEvfCxHqfvdMDhYh257r69AXTwsLsvXTJ6XXms9xy
LQ==
=pNoP
-----END PGP MESSAGE-----
un utente malintenzionato sarà comunque in grado di analizzare manualmente i pacchetti (anche se né gpg --list-packets né pgpdump aiuteranno ad analizzare tali informazioni non modificate senza modificare il loro codice), e avrete bisogno di una certa comprensione di RFC 4880 (e di un editor esadecimale ).
Dipende da cosa ti senti a tuo agio. Personalmente non faccio molto per nascondere la mia identità online. Poiché uso il mio vero nome per tutti i miei account e ho caricato le mie chiavi gpg sui server delle chiavi pubbliche, le mie chiavi non sono difficili da trovare, eccoli .
Facendo clic sul tuo profilo, sono stati necessari circa 10 secondi per trovare il tuo indirizzo email e quindi le tue chiavi pubbliche che hai caricato sui server delle chiavi. Questo sei , giusto?
Per entrambi, qualsiasi informazione così facile da trovare non vale la pena di nascondersi, vero? Hai sicuramente bisogno di leggere almeno quello che pubblichi per assicurarti che sia comodo renderlo pubblico, ma finché non pubblichi la tua chiave privata, in realtà si riduce a ciò che ti piace.
Se ci sono informazioni che vuoi proteggere puoi sempre redigere parti della chiave con segnaposti standard e ovvi:
uid Random User <[email protected]>
sig sig3 AAAAAAA 1970-01-01 __________ 2100-01-01
e lascia le parti rilevanti per la domanda.