複数のサーバーで同じPGPキーを使用していますか?

StackOverflow https://stackoverflow.com/questions/4346696

  •  30-09-2019
  •  | 
  •  

質問

この質問は、PGPキーの「ベストプラクティス」に該当すると思います。最初に非常に速い背景。私はオープンソースプロジェクトをリードしており、「Apache Maven」リポジトリに公開するための多数のリクエストを受けています。これを行うには、PGPキーで各リリースに署名する必要があります。

そこで、私はPGPを使用し、ローカルコンピューターでパブリック/秘密鍵を生成しました。 「シークレットキー」をエクスポートして暗号化し、「ビルドサーバー」に転送しました。ビルドサーバーは、キーのインポートを拒否し、無効であると述べています。さらなる分析により、ビルドサーバーはローカルコンピューターで使用していたのとは異なるユーザーIDで実行されるため、互換性がないと信じています。

PGPキーペアは私の名前に結びついているので、それは 人は1つのPGPキーのみを所有する必要がありますか?しかし、これは本当にそうですか?マシンごとに1つ生成する必要がありますか?インポート/エクスポートを使用してそれらをバックアップしますか?私はこれをうまく行うことができます。それは、いくつかのマシンの上にPGPの秘密の鍵を複製しようとするとき、それは本当に難しいと思われます。つまり、私は自分のために1つのキーを作成してビルドサーバーにコピーしていると考えています。また、それを使用して自分から電子メールを暗号化する(必要な場合)などです。

役に立ちましたか?

解決

複数のPGPキーを持つことは珍しいことではありません。特に、さまざまな役割を果たしている場合。

署名者に署名するキーでは、参加者がいくつかのPGPキーを提示することがよくあります。 1つはプライベートコミュニケーション用、1つは1つのプロジェクトでリリースするための1つ、別のプロジェクトに署名するための別のプロジェクトなど。

他のヒント

私があなたの投稿を正しく理解しているなら、

「シークレットキー」をエクスポートして暗号化し、「ビルドサーバー」に転送しました。ビルドサーバーは、キーのインポートを拒否し、無効であると述べています。

あなたの問題は、それをインポートしようとする前に秘密の鍵を暗号化したことです。もちろん、秘密の鍵を秘密に保ち、厳格な権限で保護されたディレクトリに保管する必要があります(例: "chmod 600 secring.gpg gpgを使用している場合は)。ただし、インポートする前にキーを暗号化しないでください。あなたはこれについてしばらくの間深く考えて、それは明らかになります:PGPはキーペアの秘密の半分をインポートしようとしています。 (または任意の)公開キーを使用してシークレットキー(または任意のファイル)を暗号化した場合、PGPプログラムはインポートしようとしている秘密キーを解読する方法を知りません。基本的に、キーは鍵ではありません;これは暗号化されたファイル/メッセージです。キーはインポートする前に暗号化されるべきではありません。実際、秘密の鍵を暗号化する唯一の状況は、どこかに(そうでなければ)安全に保存する必要がある場合です。 USB FOBあなたはどこかに隠しておきます。

また、さまざまな(おそらく無関係な)目的でファイルとメッセージを暗号化するために、複数の秘密のキーまたはID、またはその両方を持つことが可能であり、実際には珍しいことではありません。私はこれが役立つことを願っています...遅ればせながら。

ライセンス: CC-BY-SA帰属
所属していません StackOverflow
scroll top