it-swarm.com.de

Wie viele OpenPGP-Schlüssel soll ich machen?

Ich lerne, wie man OpenPGP-Schlüssel in GnuPG verwendet, und ich frage mich, welchen Schwellenwert Menschen normalerweise verwenden, um separate OpenPGP-Schlüssel zu verwalten. Die Verwaltung einer unglaublich großen Anzahl von Schlüsseln ist nicht gut, da es schwierig ist, anderen zu vertrauen. Andererseits habe ich das Gefühl, dass die Beibehaltung eines einzelnen Schlüssels möglicherweise nicht in der Lage ist, einzelne Dinge getrennt zu halten.

Wie viele Schlüssel sind in Ordnung? Wie viele sind zu viel?

82
user9117

Im Allgemeinen sollte ein Schlüssel pro Identität in Ordnung sein.

Ein Schlüssel kann sein:

  • Mehrere UIDs (für separate Mailadressen, ...)
  • Mehrere Unterschlüssel (für verschiedene Geräte, damit Sie einen Unterschlüssel auf Ihr Handy legen können; wenn dieser verloren geht, widerrufen Sie nur diesen)

Vorteile

  • Weniger Aufwand beim Signieren von Schlüsseln, bei der Interaktion mit Keyservern und beim Cross-Signieren Ihrer Schlüssel
  • Weniger Aufwand bei der Wartung Ihrer Schlüssel, einschließlich Umzug auf andere Computer, Sperrzertifikate, ...
  • Weniger Aufwand bei der tatsächlichen Verwendung
  • Weniger Umweltverschmutzung: Wenn jemand Ihren öffentlichen Schlüssel verwenden möchte, ist es einfacher, den richtigen zu finden, da er semantisch gruppiert ist. Stellen Sie sich vor, Sie suchen nach dem Namen einer Person und finden ein Dutzend Schlüssel für alle verwendeten Adressen, die für die Verschlüsselung verwendet werden sollen.

Wenn Sie trotzdem mehrere Schlüssel haben

Wenn Sie mehrere IDs verwalten möchten, die nicht direkt verbunden werden sollen (ich kann mir eine persönliche vorstellen, eine bei Ihrem Arbeitgeber, eine für Dinge, die möglicherweise nicht enthalten Ihren richtigen Namen - ich denke an staatlichen Druck, ...), natürlich können Sie auch mehrere Primärschlüssel verwenden.

Einschränkungen von Unterschlüsseln

Andere, die für Sie verschlüsseln, wählen immer den neuesten Unterschlüssel. Es gibt keine Möglichkeit, Unterschlüssel mit bestimmten Benutzer-IDs zu verbinden (z. B. um unterschiedliche Unterschlüssel für Arbeit und Zuhause zu haben). Dies wäre ein guter Grund für die Verwendung mehrerer Primärschlüssel (abhängig von Ihrer örtlichen Gesetzgebung kann Ihr Arbeitgeber möglicherweise auch den privaten Schlüssel anfordern). Dies gilt nicht für das Signieren von Unterschlüsseln: Jeder Computer verwendet nur den verfügbaren Unterschlüssel. Wenn Sie nur den bestimmten Unterschlüssel verteilen, können Sie einen bestimmten Unterschlüssel problemlos erzwingen.

GnuPG kann nur verschiedene Sätze privater Unterschlüssel für einen Primärschlüssel ab Version 2.1 zusammenführen. Stellen Sie sicher, dass sich alle Unterschlüssel auf einem Computer befinden, und exportieren Sie sie nach Bedarf, oder aktualisieren Sie GnuPG. Es gibt eine Möglichkeit, gpgsplit und cat zu verwenden, diese sind jedoch langwierig und erfordern fundierte Kenntnisse von RFC4880 (der OpenPGP-Spezifikation).

Unterschlüssel erstellen und exportieren

Unterschlüssel werden generiert, indem Sie gpg --edit-key [key-id] Für den Primärschlüssel ausführen und dann den Assistenten zur Generierung von Unterschlüsseln mit dem Befehl addkey starten (vergessen Sie nicht, danach save zu verwenden). Führen Sie zum Exportieren eines Unterschlüssels (oder einer Reihe von Unterschlüsseln) gpg --export-secret-subkeys [subkey-id]! >subkey.pgp Aus. Vergessen Sie nicht das Ausrufezeichen !. Andernfalls löst GnuPG den Unterschlüssel in den zugehörigen Primärschlüssel auf (und exportieren Sie stattdessen diesen ). Sie können es mit dem normalen Befehl gpg --import [file] Importieren.


Ich empfehle dringend Debians Dokument über Unterschlüssel zur weiteren Lektüre.

78
Jens Erat

Wie viele Schlüssel sind in Ordnung? Wie viele sind zu viel?

Sie benötigen nur mehrere Schlüssel, wenn Sie mehrere getrennte Identitäten haben möchten. Identitäten sind signiert und ein Schlüssel kann mehrere Identitäten enthalten. Sie könnten also einen Schlüssel mit allen Identitäten haben, auf die Sie Anspruch erheben möchten.

Ebenso können Sie so viele Schlüssel erstellen, wie Sie möchten, um getrennte Identitäten zu haben. Es ist eine ganz persönliche Angelegenheit, wie viele Ihrer Meinung nach angemessen und persönlich verwaltbar sind.

13
Jeff Ferland