Komu­ni­kat o zmia­nie klu­cza GPG

Data: 8 paź­dzier­ni­ka 2015

(Możesz rów­nież pobrać poniż­szy komu­ni­kat pod­pi­sa­ny obo­ma klu­cza­mi)

Z wie­lu powo­dów stwo­rzy­łem ostat­nio nowy klucz OpenPGP, któ­re­go od teraz będę uży­wał, porzu­ca­jąc klucz sta­ry.

Sta­ry klucz będzie nadal waż­ny przez jakiś czas, ale wolał­bym, by wszel­ka przy­szła kore­spon­den­cja korzy­sta­ła już z nowe­go klu­cza. Chciał­bym też, by nowy klucz został zin­te­gro­wa­ny do sie­ci zaufa­nia. Niniej­sza wia­do­mość pod­pi­sa­na jest obo­ma klu­cza­mi, by ją uwia­ry­god­nić.

Sta­ry klucz to:

pub   2048R/DBAB60F2 2012-09-08
      Key fingerprint = 99A7 D000 D012 7BD7 F497  BC51 C277 D526 DBAB 60F2

Nowy klucz to:

pub   4096R/3F332AEF 2015-10-08 [wygasa: 2017-10-07]
      Key fingerprint = 39FB 5452 5236 AB4E 886E  BA75 CE97 A663 3F33 2AEF

By pobrać cały klucz z publicz­ne­go ser­we­ra klu­czy, możesz zwy­czaj­nie:

gpg --keyserver pgp.mit.edu --recv-key 3F332AEF

Jeśli zaś masz już mój sta­ry klucz, możesz upew­nić się, że nowy klucz jest pod­pi­sa­ny klu­czem sta­rym:

gpg --check-sigs 3F332AEF

Jeśli nie masz moje­go moje­go sta­re­go klu­cza, lub chcesz się dodat­ko­wo upew­nić, że wszyst­ko gra, możesz porów­nać odci­ski pal­ca klu­czy:

gpg --fingerprint 3F332AEF

Gdy jesteś usa­tys­fak­cjo­no­wa­ny i pew­ny, że masz wła­ści­wy klucz, i że UIDy klu­czy zga­dza­ją się z ocze­ki­wa­ny­mi, był­bym zobo­wią­za­ny za pod­pi­sa­nie moje­go nowe­go klu­cza. Moż­na to zro­bić za pomo­cą komen­dy:

**
UWA­GA: jeśli mój klucz jest już przez Cie­bie pod­pi­sa­ny, ale wyłącz­nie lokal­nie (lsign), użyj komen­dy —lsign-key zamiast tego, co poni­żej, i nie wysy­łaj pod­pi­sów na ser­wer klu­czy
**

gpg --sign-key 3F332AEF

Chciał­bym w mia­rę moż­li­wo­ści otrzy­mać Two­je pod­pi­sy moje­go klu­cza. Możesz mi je wysłać mailem, jeśli masz dzia­ła­ją­ce MTA na swo­im sys­te­mie):

gpg --armor --export 3F332AEF | mail -s 'Podpisy OpenPGP' marcin@karpezo.pl

Przy oka­zji — moc­no suge­ru­ję wdro­że­nie mecha­ni­zmu auto­ma­tycz­ne­go odświe­ża­nia klu­czy w celu otrzy­my­wa­nia na bie­żą­co rewo­ka­cji i innych aktu­ali­za­cji sta­nów klu­czy. Moż­na do tego użyć par­ci­mo­nie — daemo­na, któ­ry powo­li, w tle, odświe­ża klu­cze z ser­we­rów klu­czy przez Tora. Uży­wa loso­we­go cza­su przerw pomię­dzy kolej­ny­mi akcja­mi, i oddziel­nych tras w sie­ci Tor dla każ­de­go z klu­czy. Ozna­cza to, że cięż­ko było­by komu­kol­wiek sko­re­lo­wać aktu­ali­za­cje klu­czy z Two­im zesta­wem klu­czy.

Gorą­co też zachę­cam do zapo­zna­nia się z naj­lep­szy­mi prak­ty­ka­mi doty­czą­cy­mi GPG, zebra­ny­mi przez RiseUp; stam­tąd bez­czel­nie ukra­dłem więk­szość angiel­skie­go tek­stu niniej­szej wia­do­mo­ści. 😉

https://​help​.riseup​.net/​e​n​/​s​e​c​u​r​i​t​y​/​m​e​s​s​a​g​e​-​s​e​c​u​r​i​t​y​/​o​p​e​n​p​g​p​/​b​e​s​t​-​p​r​a​ctices

Jeśli poja­wią się jakieś pyta­nia bądź pro­ble­my, pro­szę o sygnał i prze­pra­szam za zamie­sza­nie.

P.S. – ogrom­ne dzię­ki dla ryś­ka, za wyko­na­nie pol­skiej wer­sji tego tek­stu i jego publi­ka­cję na CC BY-SA.

Podobne wpisy