Sono un po 'confuso (come molti altri) sul concetto di sottochiavi relativo alla chiave primaria. gpg
di default (almeno sembra sul mio sistema --- usando RSA
), su gpg --gen-key
crea un masterkey
e un subkey
. Il masterkey
ha contrassegni SC
che potrebbero essere utilizzati per la firma e la certificazione. Crea anche una sottochiave con flag E
, utilizzato per la crittografia. Le seguenti affermazioni sono corrette?
- Se capisco l'intero concetto, sia
masterkey
chesubkey
sono coppie di chiavi, cioè una coppia di chiavi private-pubbliche. - il fatto che uno sia solo per la crittografia è perché alcuni algoritmi hanno tale requisito (servono chiavi separate per la crittografia e la firma)
- Il
subkey
conE
flag: la sua parte pubblica può essere utilizzata per crittografare le informazioni e la sua parte privata per decrittografare le informazioni che sono state crittografate con la parte pubblica. - Il
masterkey
conSC
flag: la sua parte privata viene utilizzata per firmare / certificare e la sua parte pubblica viene utilizzata per verificare la validità della firma.
La parte più confusa è quando seguo il consiglio per creare ulteriore subkeys
, uno per la firma, uno per la crittografia. Chiamiamo solo la crittografia originale subkey
ESK0
e la nuova crittografia subkey
ESK1
e la nuova firma subkey
SSK1
e masterkey
MK
.
Dopo aver creato ESK1
e SSK1
dovrei avere in totale 4 coppie di chiavi pubbliche / private, corretto? Quindi, seguendo le guide, rimuovo MK
su un supporto offline e lo rimuovo dal mio computer, quindi ora ho nel mio computer:
- Una coppia pubblica / privata
ESK0
(crittografia originale) - Una coppia pubblica / privata
ESK1
(nuova crittografia) - Una coppia pubblica / privata
SSK1
(nuova firma) - Una chiave pubblica per
MK
Quindi cambio la password usando gpg --edit-key $id passwd
. Secondo alcune guide dovrebbe cambiare la password per le sottochiavi, ma non ne sono così sicuro, penso che questo cambi solo la password per l'intera struttura delimitata a MK
è solo che la struttura con% privato diMK
memorizzato offline ha ancora la vecchia password. Quale è corretto?
Ora, se firmo qualcosa, qual è la chiave della firma? Credo che debba essere SSK1
poiché MK
non è più disponibile. Corretto?
Quindi caricare alcune chiavi pubbliche in un server delle chiavi utilizzando gpg --send-key $id
. Quali chiavi / chiavi pubbliche sono state caricate?
Se qualcuno utilizzerà le informazioni dal server delle chiavi per inviarmi alcune informazioni crittografate, quale chiave pubblica verrà utilizzata per la crittografia: ESK0
o ESK1
? Sono preoccupato che sarebbe ESK0
da allora l'intero punto di avere sottochiavi sarebbe completamente inutile come per la decifrazione, io starei ancora usando ESK0
.
Inoltre, perché le guide suggeriscono la rimozione di MK
ma il ESK0
deve rimanere sul sistema? Qual è lo scopo di ESK1
quindi?
Grazie per l'aiuto.