J'apprends à utiliser les clés OpenPGP dans GnuPG, et je me demande quel est le seuil généralement utilisé par les gens pour maintenir des clés OpenPGP séparées. Il n'est pas bon de conserver un nombre incroyablement élevé de clés car cela rend difficile la confiance des autres. D'un autre côté, mon sentiment est que le maintien d'une seule clé peut ne pas être en mesure de séparer les choses.
Combien de clés ça va? Combien sont trop?
En général, une clé par identité devrait convenir.
Une clé peut inclure:
Si vous souhaitez gérer plusieurs identifiants qui ne doivent pas être connectés directement (je peux imaginer un identifiant personnel, un chez votre employeur, un pour des choses qui ne contenir votre vrai nom - je pense à la pression gouvernementale, ...), n'hésitez pas à utiliser plusieurs clés primaires.
Les autres personnes qui cryptent pour vous choisiront toujours la sous-clé la plus récente. Il n'existe aucun moyen de connecter des sous-clés à des ID utilisateur spécifiques (par exemple, pour avoir des sous-clés différentes pour le travail et la maison). Ce serait une bonne raison d'utiliser plusieurs clés primaires (également, votre employeur pourrait être en mesure d'exiger la clé privée, selon votre législation locale). Ceci n'est pas valable pour la signature de sous-clés: chaque ordinateur utilisera simplement la sous-clé disponible; si vous distribuez uniquement la sous-clé spécifique, vous pouvez facilement appliquer une sous-clé donnée.
GnuPG ne peut fusionner que différents ensembles de sous-clés privées pour une clé primaire à partir de la version 2.1. Assurez-vous d'avoir toutes les sous-clés sur une seule machine et d'exporter si nécessaire, ou mettez à niveau GnuPG. Il existe un moyen d'utiliser gpgsplit
et cat
, mais c'est fastidieux et nécessite une connaissance approfondie de RFC4880 (la spécification OpenPGP).
Les sous-clés sont générées en exécutant gpg --edit-key [key-id]
Pour la clé primaire, puis en démarrant l'assistant de génération de sous-clé avec la commande addkey
(n'oubliez pas de save
par la suite). Pour exporter une sous-clé (ou un ensemble de sous-clés), exécutez gpg --export-secret-subkeys [subkey-id]! >subkey.pgp
- n'oubliez pas le point d'exclamation !
, Sinon GnuPG résoudra la sous-clé en clé primaire associée (et exportera celle-ci à la place ). Vous pouvez l'importer en utilisant la commande normale gpg --import [file]
.
Je recommande fortement document de Debian sur les sous-clés pour une lecture plus approfondie.
Combien de clés ça va? Combien sont trop?
Vous n'avez besoin de plusieurs clés que si vous souhaitez avoir plusieurs identités déconnectées. Les identités sont signées et une clé peut avoir plusieurs identités. Ainsi, vous pourriez avoir une clé avec toutes les identités que vous souhaitez revendiquer.
De même, vous pouvez créer autant de clés que vous le souhaitez pour avoir des identités déconnectées. C'est entièrement une question personnelle quant au nombre qui, selon vous, sera approprié et gérable personnellement.