Используя один и тот же ключ PGP на нескольких серверах?

Question

Я думаю, что этот вопрос подпадает под «лучшие практики» для ключей PGP.Сначала очень быстрый фон.Я возглавляю проект с открытым исходным кодом и получаю многочисленные запросы на публикацию в хранилище Apache Maven.Для этого мне нужно подписать каждый выпуск ключом PGP.

Поэтому я использовал PGP и сгенерировал открытый / закрытый ключ на своем локальном компьютере.Я экспортировал и зашифровал «секретный ключ» и перенес его на свой «сервер сборки».Сервер сборки отказывается импортировать ключ, говоря, что он недействителен.Дальнейший анализ привел меня к мысли, что, поскольку наш сервер сборки работает с другим идентификатором пользователя, чем тот, который я использовал на своем локальном компьютере, они несовместимы.

Я бы подумал, что, поскольку пара ключей PGP связана с моим именем, I как человек должен владеть только ОДНЫМ ключом PGP?Но так ли это на самом деле?Должен ли я генерировать один на машину?И просто использовать импорт / экспорт для их резервного копирования?Я могу сделать это очень хорошо, но когда я пытаюсь реплицировать секретный ключ PGP на несколько машин, это кажется действительно сложным и, как будто я использую PGP неправильно.А именно, я думаю, что создаю один ключ для себя и копирую его на сервер сборки, возможно, также использую его для шифрования электронной почты от себя (если мне нужно это сделать) и т. Д.

Answer 1

Нет ничего необычного в том, чтобы иметь более одного ключа PGP.Особенно, если вы выполняете разные роли.

Пример

На вечеринках по подписанию ключей часто случается, что участники представляют несколько ключей PGP.Один для личного общения, один для подписания релизов в одном проекте, другой для подписания в другом проекте и т. Д.

Answer 2

Если я правильно понимаю ваши сообщения,

Я экспортировал и зашифровал «секретный ключ» и передал его на свой «сервер сборки».Сервер сборки отказывается импортировать ключ, говоря, что он недействителен.

Похоже, ваша проблема в том, что вы зашифровали свой секретный ключ перед попыткой его импорта.Конечно, вы должны хранить секретный ключ в секрете и хранить его в каталоге, защищенном строгими разрешениями (например, «chmod 600 secring.gpg, если вы используете GPG). Но вам не следует шифровать ключ перед его импортом.Если вы задумаетесь над этим на мгновение, станет ясно: PGP пытается импортировать секретную половину пары ключей, чтобы он мог (среди прочего) дешифровать сообщения, зашифрованные с использованием открытой половины этой пары ключей. Но если выЗашифровав секретный ключ (или любой файл в этом отношении) с помощью (или любого) открытого ключа, программа PGP не знает, как расшифровать тот секретный ключ, который вы пытаетесь импортировать. По сути, ключ не является ключом; это зашифрованный файл / сообщение. Ключ не должен быть зашифрован перед импортом. Фактически единственная ситуация, когда секретный ключ должен быть зашифрован, - это если вам нужно надежно сохранить его где-то (в другом месте), например, в качестве аварийного резервногоUSB брелок где-то спрятан.

Кроме того, это возможно, и не очень необычно,иметь более одного секретного ключа или идентификатора или и того и другого для шифрования файлов и сообщений для различных (возможно, не связанных) целей.Надеюсь, это поможет ... с опозданием.