Pubblicazione di informazioni sulla tua chiave
Nascondere la tua chiave privata è ovvio e l'hai già notato.
L'unica cosa ulteriore non da pubblicare (senza intenzione di farlo) è il certificato di revoca che potresti avere pregenerato (e GnuPG 2.1 lo fa per impostazione predefinita per un buona ragione). Con tale certificato di revoca, altri potrebbero revocare la chiave caricandola sui server delle chiavi. Condividere con un amico fidato o un membro della famiglia potrebbe essere una buona cosa da fare: potrebbero comunque revocare la tua chiave nel caso ti accadesse qualcosa (considerala una sorta di ultima volontà digitale).
Altre cose non sono un problema. Se pubblichi la tua chiave pubblica (o impronta digitale, indirizzo e-mail, ID utente: tutti questi potrebbero essere utilizzati per recuperare la chiave da un server delle chiavi, dato che è stata caricata, e se usi la chiave, aspetta per essere caricato da qualcuno per errore o intento). Questo potrebbe consentire di collegare il tuo account Stack Exchange con la tua vera identità (che d'altra parte non sembra essere un problema per te, guardando il tuo profilo).
Da tutte le ulteriori informazioni come ID chiave, impronte digitali, ID utente, ... né la tua chiave privata né il certificato di revoca possono essere calcolati. Gli ID chiave sono le parti inferiori dell'impronta digitale, che viene nuovamente calcolata dal momento della creazione della chiave e della chiave pubblica.
Informazioni sulla pubblicazione create utilizzando la chiave
Se non vuoi rivelare la tua identità, tieni presente quando pubblichi i dati crittografati e / o firmati per / dalla tua chiave, anche se le parti della striscia dell'armatura ASCII o dell'output binario; o pubblicare parti dalla tua chiave pubblica. Include l'intera impronta digitale chiave e lo fa nelle primissime parti. Se hai qualcosa di simile
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
owEBOgLF/ZANAwACAY545E37G1XpAcsKYgBV6J49Zm9vCokCHAQAAQIABgUCVeie
PQAKCRCOeORN+xtV6fZxD/oCEDFuXBwdF07UDZOh0v2x7CX7UmruCRs2MwcmZoHV
Uiiag9ibc3951pxCdNfDdB6rKKYc4fqqkMOTFqdi9DXBs6u7r8oiuuDTpqSJxyaM
lgUTiE/8oiF2/JtLgrFTVr5Kq7tgSs5WJ++zW0bPBNQHZoQ58fQsuAc0cn408m1j
[snipped some lines for assumed privacy]
iJiQoufmmGZdXFhFKW3hVxabEvfCxHqfvdMDhYh257r69AXTwsLsvXTJ6XXms9xy
LQ==
=pNoP
-----END PGP MESSAGE-----
un utente malintenzionato sarà comunque in grado di analizzare manualmente i pacchetti (anche se né gpg --list-packets
né pgpdump
aiuteranno ad analizzare tali informazioni non modificate senza modificare il loro codice), e avrete bisogno di una certa comprensione di RFC 4880 (e di un editor esadecimale ).