Esiste una best practice comune per denominare le chiavi PGP pubbliche e private durante l'esportazione?

Question

Esiste una best practice comune per denominare le chiavi PGP pubbliche e private durante l'esportazione?

#1 da (9 voti)

10

Esiste una best practice comune per denominare le chiavi GPG pubbliche e private esportate quando vengono esportate o altrimenti memorizzate come file?

So che a GnuPG non importa quali siano le chiavi nominate quando le importi. Tuttavia, ci devono essere alcune convenzioni di denominazione per l'esportazione. C'è sempre per questo genere di cose. Non riesco a trovare una risposta chiara da solo qui o tramite Google.

Immagino che non ci possa essere una best practice comune per nominare le chiavi private. Negli ambienti server, la chiave privata viene esportata raramente. Ma per la crittografia delle comunicazioni personali, è necessario eseguire il backup di una chiave privata ed eventualmente importarla su un nuovo computer. Pertanto, deve essere esportato. In teoria, sei l'unica persona che potrà mai vedere il file della chiave privata e sapere di cosa si tratta, quindi non c'è bisogno di una convenzione di denominazione "best practice". Ma il file della chiave pubblica deve essere condiviso e quindi dovrebbero esserci alcune buone pratiche comuni là fuori.

Supponiamo di aver appena creato una nuova coppia di chiavi: Bruce Wayne < [email protected]> .

Quindi esporto le chiavi private e pubbliche come file corazzati ASCII: la chiave privata da conservare in un posto sicuro per il backup e la chiave pubblica da condividere con le persone.

Come dovrei nominare i file? Quale estensione dovrei usare?

Genericamente ...
public.key
private.key

Utilizzo del "vero nome" UID ...
brucewayne-public.asc
brucewayne-private.asc

Utilizzo dell'indirizzo email UID ...
[email protected]
[email protected]

Quando i tasti sono generati, c'è un ID di otto caratteri (esadecimale) che viene visualizzato. Ho visto una chiave pubblica usare questo come nome file.

~ # gpg --list-keys
/root/.gnupg/pubring.kbx
------------------------
pub   rsa2048/1234ABCD 2016-08-20 [SC]
uid         [ultimate] Bruce Wayne <[email protected]>
sub   rsa2048/5678EABC 2016-08-20 [E]

Se esiste qualche best practice comune, faccelo sapere. E, se possibile, indicami tutta la documentazione o il manuale che lo utilizza.

gnupg

posta lukejanicke 20.08.2016 - 14:23

fonte

1 risposta

Leggi altre domande sui tag gnupg

PHP mail () Prevenzione dell'iniezione dell'intestazione Il motivo dell'uso dell'operazione XOR in algoritmi crittografici

score 9 · Accepted Answer

Anche se ovviamente è molto difficile dimostrare un risultato negativo, penso che il motivo per cui non hai trovato alcuna "best practice" comune è che non esiste nessuno.

La chiave in sé non si preoccupa del suo nome file. Inoltre, ci sono modi per gestire le chiavi esportate che non coinvolgono mai alcun file su un file system! Considera qualcosa di relativamente banale, come gpg --export 0xDEADBEEF | ssh [email protected] gpg --import .

Dovresti tuttavia dare un nome al file chiave esportato in modo da avere un'idea della chiave che contiene, dal momento che il file esportato stesso (ironicamente, più ancora se il file è in armatura ASCII piuttosto che se non è) non manterrà quell'informazione in un formato facilmente leggibile a meno che non la modifichi in te stesso (ad esempio, nel campo Comment: di un blob di dati armati ASCII).

Per la pubblicazione, l'ID della chiave esadecimale è di solito un buon punto di partenza perché è ragionevolmente unico, in particolare se usi ID chiave a 64 bit completo o anche l'impronta digitale (ovvero praticamente , ma non in teoria, garantito per essere unico).

Per l'archiviazione personale, o, ad esempio, per inviare via e-mail la chiave pubblica a un corrispondente, di solito vuoi essere in grado di distinguere i tasti da te, ma non ti preoccupare dell'unicità globale. Quindi, qualcosa che identifica la chiave per te è probabilmente un buon punto di partenza; così, si potrebbe iniziare osservando informazioni come il nome associato, l'indirizzo e-mail associato, la data di generazione o di scadenza o qualcosa del genere. Se generi una nuova chiave una volta ogni 18 mesi, ad esempio, la data di generazione potrebbe essere una cosa ragionevole da includere nei nomi dei file, perché ti dice della cronologia dei tasti e della quale potresti aspettarti di essere usata per un messaggio specifico.

Ho visto una varietà di convenzioni di denominazione per distinguere tra le porzioni private e pubbliche della chiave, ma la linea di fondo è che in realtà non ha alcuna importanza finché è possibile dire senza alcun rischio di ambiguità quale file è quale. Se vuoi aggiungere -private e -public prima dell'estensione del nome del file, o se vuoi nominare un .asc e l'altro .private , o qualsiasi altro schema tu preferisci, non importa affatto: solo sceglierne uno che ti renda ovvio quale file è quale.