Sto imparando a usare le chiavi OpenPGP in GnuPG e mi chiedo quale sia la soglia che le persone generalmente usano per mantenere le chiavi OpenPGP separate. Mantenere un numero incredibilmente grande di chiavi non è buono, dal momento che rende difficile la fiducia degli altri. D'altra parte, il mio sentimento è che mantenere una singola chiave potrebbe non essere in grado di tenere separate le cose separate.
Quanti tasti sono a posto? Quanti sono troppo?
In generale, una chiave per identità dovrebbe andare bene.
Una chiave può includere:
Se vuoi gestire più ID che devono non essere collegati direttamente (posso immaginarne uno personale, uno al tuo datore di lavoro, uno per cose che potrebbero non contenere il tuo vero nome - penso pressione governativa, ...), sentirsi naturalmente liberi di utilizzare più chiavi primarie.
Gli altri tipi di crittografia sceglieranno sempre la sottochiave più recente. Non è possibile connettere le sottochiavi a specifici ID utente (ad esempio, per avere diverse sottochiavi per lavoro e casa). Questa sarebbe una buona ragione per utilizzare più chiavi primarie (inoltre, il datore di lavoro potrebbe essere in grado di richiedere la chiave privata, a seconda della legislazione locale). Questo non è valido per la firma di sottochiavi: ogni computer utilizzerà solo la sottochiave disponibile; se si distribuisce solo la sottochiave specifica, è possibile applicare facilmente una determinata sottochiave.
GnuPG può solo unire diversi set di sottochiavi private per una chiave primaria a partire dalla versione 2.1. Assicurati di avere tutte le sottochiavi su una singola macchina ed esporta come necessario, oppure aggiorna GnuPG. C'è un modo per usare gpgsplit e cat , ma è noioso e richiede una profonda conoscenza di RFC4880 (la specifica OpenPGP).
Le sottochiavi vengono generate eseguendo gpg --edit-key [key-id] per la chiave primaria e quindi avviando l'assistente di generazione di sottochiavi con il comando addkey (non dimenticare di save in seguito). Per esportare una sottochiave (o una serie di sottochiavi), eseguire gpg --export-secret-subkeys [subkey-id]! >subkey.pgp - non dimenticare il punto esclamativo ! , altrimenti GnuPG risolverà la sottochiave sulla chiave primaria associata (ed esporta invece questa). Puoi importarlo usando il normale comando gpg --import [file] .
Raccomando vivamente il documento di Debian sulle sottochiavi per ulteriori letture.
How many keys are okay? How many are too much?
Hai bisogno di più chiavi se vuoi avere più identità disconnesse. Le identità sono firmate e una chiave potrebbe avere più identità su di essa. Quindi, potresti avere una chiave con tutte le identità che desideri rivendicare.
Allo stesso modo, puoi creare tutte le chiavi che vuoi avere identità disconnesse. È interamente una questione personale su quanti ritieni siano appropriati e personalmente gestibili.
Leggi altre domande sui tag key-management pgp gnupg openpgp