Ten post dostępny jest także w języku:
Data: 8 października 2015
(Możesz również pobrać poniższy komunikat podpisany oboma kluczami)
Z wielu powodów stworzyłem ostatnio nowy klucz OpenPGP, którego od teraz będę używał, porzucając klucz stary.
Stary klucz będzie nadal ważny przez jakiś czas, ale wolałbym, by wszelka przyszła korespondencja korzystała już z nowego klucza. Chciałbym też, by nowy klucz został zintegrowany do sieci zaufania. Niniejsza wiadomość podpisana jest oboma kluczami, by ją uwiarygodnić.
Stary klucz to:
pub 2048R/DBAB60F2 2012-09-08
Key fingerprint = 99A7 D000 D012 7BD7 F497 BC51 C277 D526 DBAB 60F2
Nowy klucz to:
pub 4096R/3F332AEF 2015-10-08 [wygasa: 2017-10-07]
Key fingerprint = 39FB 5452 5236 AB4E 886E BA75 CE97 A663 3F33 2AEF
By pobrać cały klucz z publicznego serwera kluczy, możesz zwyczajnie:
gpg --keyserver pgp.mit.edu --recv-key 3F332AEF
Jeśli zaś masz już mój stary klucz, możesz upewnić się, że nowy klucz jest podpisany kluczem starym:
gpg --check-sigs 3F332AEF
Jeśli nie masz mojego mojego starego klucza, lub chcesz się dodatkowo upewnić, że wszystko gra, możesz porównać odciski palca kluczy:
gpg --fingerprint 3F332AEF
Gdy jesteś usatysfakcjonowany i pewny, że masz właściwy klucz, i że UIDy kluczy zgadzają się z oczekiwanymi, byłbym zobowiązany za podpisanie mojego nowego klucza. Można to zrobić za pomocą komendy:
**
UWAGA: jeśli mój klucz jest już przez Ciebie podpisany, ale wyłącznie lokalnie (lsign), użyj komendy —lsign-key zamiast tego, co poniżej, i nie wysyłaj podpisów na serwer kluczy
**
gpg --sign-key 3F332AEF
Chciałbym w miarę możliwości otrzymać Twoje podpisy mojego klucza. Możesz mi je wysłać mailem, jeśli masz działające MTA na swoim systemie):
gpg --armor --export 3F332AEF | mail -s 'Podpisy OpenPGP' marcin@karpezo.pl
Przy okazji — mocno sugeruję wdrożenie mechanizmu automatycznego odświeżania kluczy w celu otrzymywania na bieżąco rewokacji i innych aktualizacji stanów kluczy. Można do tego użyć parcimonie — daemona, który powoli, w tle, odświeża klucze z serwerów kluczy przez Tora. Używa losowego czasu przerw pomiędzy kolejnymi akcjami, i oddzielnych tras w sieci Tor dla każdego z kluczy. Oznacza to, że ciężko byłoby komukolwiek skorelować aktualizacje kluczy z Twoim zestawem kluczy.
Gorąco też zachęcam do zapoznania się z najlepszymi praktykami dotyczącymi GPG, zebranymi przez RiseUp; stamtąd bezczelnie ukradłem większość angielskiego tekstu niniejszej wiadomości. 😉
https://help.riseup.net/en/security/message-security/openpgp/best-practices
Jeśli pojawią się jakieś pytania bądź problemy, proszę o sygnał i przepraszam za zamieszanie.
P.S. – ogromne dzięki dla ryśka, za wykonanie polskiej wersji tego tekstu i jego publikację na CC BY-SA.