歡迎光臨
每天分享高質量文章

使用 PGP 保護程式碼完整性(三):生成 PGP 子金鑰 | Linux 中國

在第三篇文章中,我們將解釋如何生成用於日常工作的 PGP 子金鑰。
— Konstantin Ryabitsev


致謝
編譯自 | https://www.linux.com/blog/learn/pgp/2018/2/protecting-code-integrity-pgp-part-3-generating-pgp-subkeys 
 作者 | Konstantin Ryabitsev
 譯者 | geekpi ? ? 共計翻譯:708 篇 貢獻時間:1652 天

在第三篇文章中,我們將解釋如何生成用於日常工作的 PGP 子金鑰。

在本系列教程中,我們提供了使用 PGP 的實用指南。在此之前,我們介紹了基本工具和概念[1],並介紹瞭如何生成並保護您的主 PGP 金鑰[2]。在第三篇文章中,我們將解釋如何生成用於日常工作的 PGP 子金鑰。

清單

☉ 生成 2048 位加密子金鑰(必要)   2. 生成 2048 位簽名子金鑰(必要)   3. 生成一個 2048 位驗證子金鑰(推薦)   4. 將你的公鑰上傳到 PGP 金鑰伺服器(必要)   5. 設定一個掃清的定時任務(必要)

註意事項

現在我們已經建立了主金鑰,讓我們建立用於日常工作的金鑰。我們建立 2048 位的金鑰是因為很多專用硬體(我們稍後會討論這個)不能處理更長的金鑰,但同樣也是出於實用的原因。如果我們發現自己處於一個 2048 位 RSA 金鑰也不夠好的世界,那將是由於計算或數學有了基本突破,因此更長的 4096 位金鑰不會產生太大的差別。

建立子金鑰

要建立子金鑰,請執行:

  1. $ gpg --quick-add-key [fpr] rsa2048 encr

  2. $ gpg --quick-add-key [fpr] rsa2048 sign

用你金鑰的完整指紋替換 [fpr]

你也可以建立驗證金鑰,這能讓你將你的 PGP 金鑰用於 ssh:

  1. $ gpg --quick-add-key [fpr] rsa2048 auth

你可以使用 gpg --list-key [fpr] 來檢視你的金鑰資訊:

  1. pub rsa4096 2017-12-06 [C] [expires: 2019-12-06]

  2. 111122223333444455556666AAAABBBBCCCCDDDD

  3. uid [ultimate] Alice Engineer <alice@example.org>

  4. uid [ultimate] Alice Engineer <allie@example.net>

  5. sub rsa2048 2017-12-06 [E]

  6. sub rsa2048 2017-12-06 [S]

上傳你的公鑰到金鑰伺服器

你的金鑰建立已完成,因此現在需要你將其上傳到一個公共金鑰伺服器,使其他人能更容易找到金鑰。 (如果你不打算實際使用你建立的金鑰,請跳過這一步,因為這隻會在金鑰伺服器上留下垃圾資料。)

  1. $ gpg --send-key [fpr]

如果此命令不成功,你可以嘗試指定一臺金鑰伺服器以及埠,這很有可能成功:

  1. $ gpg --keyserver hkp://pgp.mit.edu:80 --send-key [fpr]

大多數金鑰伺服器彼此進行通訊,因此你的金鑰資訊最終將與所有其他金鑰資訊同步。

關於隱私的註意事項:金鑰伺服器是完全公開的,因此在設計上會洩露有關你的潛在敏感資訊,例如你的全名、暱稱以及個人或工作郵箱地址。如果你簽名了其他人的鑰匙或某人簽名了你的鑰匙,那麼金鑰伺服器還會成為你的社交網路的洩密者。一旦這些個人資訊傳送給金鑰伺服器,就不可能被編輯或刪除。即使你撤銷簽名或身份,它也不會將你的金鑰記錄刪除,它只會將其標記為已撤消 —— 這甚至會顯得更顯眼。

也就是說,如果你參與公共專案的軟體開發,以上所有資訊都是公開記錄,因此透過金鑰伺服器另外讓這些資訊可見,不會導致隱私的凈損失。

上傳你的公鑰到 GitHub

如果你在開發中使用 GitHub(誰不是呢?),則應按照他們提供的說明上傳金鑰:

◈ 新增 PGP 金鑰到你的 GitHub 賬戶[3]

要生成適合貼上的公鑰輸出,只需執行:

  1. $ gpg --export --armor [fpr]

設定一個掃清定時任務

你需要定期掃清你的鑰匙環,以獲取其他人公鑰的最新更改。你可以設定一個定時任務來做到這一點:

  1. $ crontab -e

在新行中新增以下內容:

  1. @daily /usr/bin/gpg2 --refresh >/dev/null 2>&1

註意:檢查你的 gpg 或 gpg2 命令的完整路徑,如果你的 gpg 是舊式的 GnuPG v.1,請使用 gpg2。

透過 Linux 基金會和 edX 的免費“Introduction to Linux[4]” 課程瞭解關於 Linux 的更多資訊。


via: https://www.linux.com/blog/learn/pgp/2018/2/protecting-code-integrity-pgp-part-3-generating-pgp-subkeys

作者:Konstantin Ryabitsev[6] 譯者:geekpi 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出

贊(0)

分享創造快樂