作者 | Konstantin Ryabitsev
譯者 | geekpi ? ? 共計翻譯:708 篇 貢獻時間:1652 天
在第三篇文章中,我們將解釋如何生成用於日常工作的 PGP 子金鑰。
在本系列教程中,我們提供了使用 PGP 的實用指南。在此之前,我們介紹了基本工具和概念[1],並介紹瞭如何生成並保護您的主 PGP 金鑰[2]。在第三篇文章中,我們將解釋如何生成用於日常工作的 PGP 子金鑰。
清單
註意事項
現在我們已經建立了主金鑰,讓我們建立用於日常工作的金鑰。我們建立 2048 位的金鑰是因為很多專用硬體(我們稍後會討論這個)不能處理更長的金鑰,但同樣也是出於實用的原因。如果我們發現自己處於一個 2048 位 RSA 金鑰也不夠好的世界,那將是由於計算或數學有了基本突破,因此更長的 4096 位金鑰不會產生太大的差別。
建立子金鑰
要建立子金鑰,請執行:
$ gpg --quick-add-key [fpr] rsa2048 encr
$ gpg --quick-add-key [fpr] rsa2048 sign
用你金鑰的完整指紋替換 [fpr]
。
你也可以建立驗證金鑰,這能讓你將你的 PGP 金鑰用於 ssh:
$ gpg --quick-add-key [fpr] rsa2048 auth
你可以使用 gpg --list-key [fpr]
來檢視你的金鑰資訊:
pub rsa4096 2017-12-06 [C] [expires: 2019-12-06]
111122223333444455556666AAAABBBBCCCCDDDD
uid [ultimate] Alice Engineer <alice@example.org>
uid [ultimate] Alice Engineer <allie@example.net>
sub rsa2048 2017-12-06 [E]
sub rsa2048 2017-12-06 [S]
上傳你的公鑰到金鑰伺服器
你的金鑰建立已完成,因此現在需要你將其上傳到一個公共金鑰伺服器,使其他人能更容易找到金鑰。 (如果你不打算實際使用你建立的金鑰,請跳過這一步,因為這隻會在金鑰伺服器上留下垃圾資料。)
$ gpg --send-key [fpr]
如果此命令不成功,你可以嘗試指定一臺金鑰伺服器以及埠,這很有可能成功:
$ gpg --keyserver hkp://pgp.mit.edu:80 --send-key [fpr]
大多數金鑰伺服器彼此進行通訊,因此你的金鑰資訊最終將與所有其他金鑰資訊同步。
關於隱私的註意事項:金鑰伺服器是完全公開的,因此在設計上會洩露有關你的潛在敏感資訊,例如你的全名、暱稱以及個人或工作郵箱地址。如果你簽名了其他人的鑰匙或某人簽名了你的鑰匙,那麼金鑰伺服器還會成為你的社交網路的洩密者。一旦這些個人資訊傳送給金鑰伺服器,就不可能被編輯或刪除。即使你撤銷簽名或身份,它也不會將你的金鑰記錄刪除,它只會將其標記為已撤消 —— 這甚至會顯得更顯眼。
也就是說,如果你參與公共專案的軟體開發,以上所有資訊都是公開記錄,因此透過金鑰伺服器另外讓這些資訊可見,不會導致隱私的凈損失。
上傳你的公鑰到 GitHub
如果你在開發中使用 GitHub(誰不是呢?),則應按照他們提供的說明上傳金鑰:
要生成適合貼上的公鑰輸出,只需執行:
$ gpg --export --armor [fpr]
設定一個掃清定時任務
你需要定期掃清你的鑰匙環,以獲取其他人公鑰的最新更改。你可以設定一個定時任務來做到這一點:
$ crontab -e
在新行中新增以下內容:
@daily /usr/bin/gpg2 --refresh >/dev/null 2>&1
註意:檢查你的 gpg
或 gpg2
命令的完整路徑,如果你的 gpg
是舊式的 GnuPG v.1,請使用 gpg2。
透過 Linux 基金會和 edX 的免費“Introduction to Linux[4]” 課程瞭解關於 Linux 的更多資訊。
via: https://www.linux.com/blog/learn/pgp/2018/2/protecting-code-integrity-pgp-part-3-generating-pgp-subkeys
作者:Konstantin Ryabitsev[6] 譯者:geekpi 校對:wxy
本文由 LCTT 原創編譯,Linux中國 榮譽推出