In generale, una chiave per identità dovrebbe andare bene.
Una chiave può includere:
- Diversi UID (per indirizzi di posta separati, ...)
- Diverse sottochiavi (per dispositivi diversi, quindi puoi inserire qualche sottochiave sul tuo cellulare; se si perde, revocare solo questo)
vantaggi
- Meno problemi durante la firma delle chiavi, l'interazione con i server delle chiavi, la firma incrociata delle chiavi
- Meno problemi nel mantenere le tue chiavi, incluso il passaggio ad altri computer, i certificati di revoca, ...
- Meno problemi quando lo si utilizza effettivamente
- Meno inquinamento: se qualcuno vuole usare la tua chiave pubblica, è più facile trovarne uno corretto in quanto sono raggruppati in modo semantico. Immagina di cercare il nome di una persona e trovare una dozzina di chiavi per tutti i suoi diversi indirizzi in uso, che usare per la crittografia?
Su più tasti comunque
Se vuoi gestire più ID che devono non essere collegati direttamente (posso immaginarne uno personale, uno al tuo datore di lavoro, uno per cose che potrebbero non contenere il tuo vero nome - penso pressione governativa, ...), sentirsi naturalmente liberi di utilizzare più chiavi primarie.
Limitazioni delle sottochiavi
Gli altri tipi di crittografia sceglieranno sempre la sottochiave più recente. Non è possibile connettere le sottochiavi a specifici ID utente (ad esempio, per avere diverse sottochiavi per lavoro e casa). Questa sarebbe una buona ragione per utilizzare più chiavi primarie (inoltre, il datore di lavoro potrebbe essere in grado di richiedere la chiave privata, a seconda della legislazione locale). Questo non è valido per la firma di sottochiavi: ogni computer utilizzerà solo la sottochiave disponibile; se si distribuisce solo la sottochiave specifica, è possibile applicare facilmente una determinata sottochiave.
GnuPG può solo unire diversi set di sottochiavi private per una chiave primaria a partire dalla versione 2.1. Assicurati di avere tutte le sottochiavi su una singola macchina ed esporta come necessario, oppure aggiorna GnuPG. C'è un modo per usare gpgsplit
e cat
, ma è noioso e richiede una profonda conoscenza di RFC4880 (la specifica OpenPGP).
Creazione ed esportazione di sottochiavi
Le sottochiavi vengono generate eseguendo gpg --edit-key [key-id]
per la chiave primaria e quindi avviando l'assistente di generazione di sottochiavi con il comando addkey
(non dimenticare di save
in seguito). Per esportare una sottochiave (o una serie di sottochiavi), eseguire gpg --export-secret-subkeys [subkey-id]! >subkey.pgp
- non dimenticare il punto esclamativo !
, altrimenti GnuPG risolverà la sottochiave sulla chiave primaria associata (ed esporta invece questa). Puoi importarlo usando il normale comando gpg --import [file]
.
Raccomando vivamente il documento di Debian sulle sottochiavi per ulteriori letture.