Если хочется использовать #
PGP & #
GPG / #
GnuPG долгое время, то ключей нужно иметь сразу несколько: «основной» и «временные» ключи.
«Основной» ключ используется только для заверения «временных» ключей.
Срок жизни, использования, «временных» ключей может быть несколько недель, месяцев или год-два. Вся переписка и заверение коммитов на github'ах или публикаций — всё это через «временные» ключи.
«Основной» ключ может быть создан в связке ключей с указанием таких параметров/атрибутов, что само GPG не сможет использовать его ни для чего, кроме заверения «временных» ключей.
Хранение ключейНа повседневно используемых компьютерах связка PGP-ключей не содержит секретную часть «основного» ключа, т.е. на ней имеются публичные и секретные части лишь «временных» ключей и только лишь публичная часть «основного» ключа.
Соответственно, используется две связки ключей — хранится отдельно ото всего та из них, на которой присутствует секретная часть «основного» ключа. И используется лишь тогда, когда необходимо выполнить заверение нового «временного» ключа (или же добавить дополнительный идентификатор пользователя — имя, адрес e-mail). После чего эта связка ключей убирается в долгий ящик, надёжное место, несгораемый сейф и т.д. и т.п
У людей упоротых/прошаренных/одарённых эта отключаемая связка ключей не только хранится на отдельном носителе, но и подключается/используется для заверения ключей лишь на каком-нибудь стареньком ноутбуке. Физически находящегося постоянно лишь в offline, т.е. с отключёнными сетевыми картами и Bluetooth-адаптерами.
WOT (Web of trust)Всякие подписи и заверения от других людей идут на «основной» ключ, публичная часть которого всегда известна и лежит на серверах ключей вместе с публичными частями «временных» ключей. Это взаимосвязанные целое — много людей заверило публичную часть «основного» ключа и эти все подписи видны, а все «временные» ключи на связке заверены подписью «основного».
Отсутствует «perfect forward secrecy»Именно эта схема обращения с ключами изрядно всех утомила, но #
PFS стал восприниматься как обязательное требование к современным система сквозного шифрования переписки.
Потому, вместо использования #
OpenPGP стали появляться такие вещи как:
Однако, потребность в PFS касается лишь защиты переписки, а не таких вещей как подписывание коммитов с патчами или же заверение подписью софта распространяемого через всякие репозитории. В этой сфере OpenPGP остаётся одним из наиболее разумных и надёжных решений.
#
crypto #
криптография #
lang_ru @
Russia
