關於GnuPG的subkey(子密鑰)的使用
網路上關於GnuPG的博客都沒有提到一個關鍵的東西 ------ 「子密鑰」!但是,子密鑰卻是GnuPG的最重要、最關鍵、最核心!
在GnuPG里,日常的加密和簽名,使用子密鑰;主密鑰並非用來日常加密和簽名。使用到主密鑰的場景,比較特殊,有哪些呢?下面是debian社區的說法:
· when you sign someone elses key orrevoke an existing signature,
· when you add a new UID or mark anexisting UID as primary,
· when you create a new subkey,
· when you revoke an existing UID orsubkey,
· when you change the preferences(e.g., with setpref) on a UID,
· when you change the expiration dateon your master key or any of its subkey, or
· when you revoke or generate a revocationcertificate for the complete key.
(Because each of these operation is done byadding a new self- or revocation signatures from the private master key.)
(關於主密鑰對,pub + sec的使用,我會再寫文章介紹)
另外,說明一下;一個主密鑰,可以綁定若干個子密鑰;這些子密鑰有的具備加密功能,有的具備簽名功能。
比如我的密鑰是這樣:
gpg>
pub 2048R/6EB6C991 created: 2016-11-24 expires: 2017-02-22 usage: SC
trust: ultimate validity: ultimate
sub 2048R/8B5EC34E created: 2016-11-24 expires: 2017-02-02 usage: E
sub 2048g/3F1F2211 created: 2016-11-28 expires: 2016-12-19 usage: E
sub 2048g/E423A188 created: 2016-11-28 expires: 2016-12-19 usage: E
sub 2048D/A9B67F16 created: 2016-12-01 expires: 2016-12-08 usage: S
sub 2048R/A03B3497 created: 2016-12-01 expires: 2016-12-08 usage: S
sub 1024D/A0C43169 created: 2016-12-01 expires: 2016-12-08 usage: S
[ultimate] (1). virtual <164820658@qq.com>
gpg>
其中有六個子密鑰,三個用來加密(E),三個用來簽名(S)。
gpg命令對於「導出密鑰」有三個選項:
- --export-key;
- --export-secret-key;
- --export-secret-subkey;
主密鑰要嚴格保密,主密鑰的私鑰更加嚴格保密保密再保密!
--export-key,導出公鑰(主公鑰 --- pub,全部子公鑰 --- sub);
--export-secret-keys,導出私鑰(主私鑰 --- sec,全部子私鑰 --- ssb);
這個選項導出的東西,應該找個地方藏起來,比如加密U盤、保險箱、保險庫、有軍隊把守必須生物識別的嚴密機構!
--export-secret-subkeys,使用自己的私鑰的正確的做法,僅僅導出全部子私鑰!當然,還是要加密(並且驗證簽名)傳輸到其他電腦上,再導入。
示例如下:
加密 + 簽名一段消息,然後解密 + 驗證簽名:
ps:
重要的提示,sec#,這裡有一個符號#, 標識主私鑰不在這個電腦上(它應該已經被放在一個極其、極端、極度安全的地方了)。
推薦閱讀: