Verwenden Sie denselben PGP-Schlüssel auf mehreren Servern?

Question

Ich denke, diese Frage fällt unter "Best Practices" für PGP-Schlüssel. Zuerst ein sehr schneller Hintergrund. Ich leite ein Open-Source-Projekt und habe zahlreiche Anfragen zur Veröffentlichung im "Apache Maven" -Repository erhalten. Um dies zu tun, muss ich jedes Release mit einem PGP-Schlüssel signieren.

Also habe ich PGP verwendet und einen öffentlichen/privaten Schlüssel auf meinem lokalen Computer generiert. Ich habe den "geheimen Schlüssel" exportiert und verschlüsselt und auf meinen "Build-Server" übertragen. Der Build-Server verweigert den Import des Schlüssels und gibt an, dass er ungültig ist. Eine weitere Analyse führte mich zu der Annahme, dass unser Build-Server unter einer anderen Benutzer-ID als auf meinem lokalen Computer ausgeführt wird und daher nicht kompatibel ist.

Ich hätte gedacht, dass, da das PGP-Schlüsselpaar an meinen Namen gebunden ist, dass I als Person nur einen PGP-Schlüssel besitzen sollte? Aber ist das wirklich so? Sollte ich eine pro Maschine erzeugen? Und verwenden Sie einfach den Import/Export, um sie zu sichern? Ich kann das ganz gut machen, wenn ich versuche, einen PGP-Geheimschlüssel über mehrere Rechner zu replizieren, erscheint es mir sehr schwierig und als ob ich PGP vielleicht falsch gebrauchen könnte. Nämlich denke ich, ich erstelle einen Schlüssel für mich selbst und kopiere ihn auf den Erstellungsserver, benutze ihn vielleicht auch, um E-Mails von mir zu verschlüsseln (sollte ich es tun müssen), etc.

Answer 1

Es ist nicht ungewöhnlich, mehr zu haben als ein PGP-Schlüssel. Vor allem, wenn du verschiedene Rollen erfüllst.

An example

Bei Keysigning Parteien kommt es häufig vor, dass derzeit mehrere PGP-Schlüssel Teilnehmer. Eine für die private Kommunikation, eine für Signierung Mitteilungen an einem Projekt, ein anderer für in einem anderen Projekt Unterzeichnung usw.

Answer 2

Wenn ich Ihren Beitrag richtig verstehe,

ich exportiert und verschlüsselt die „geheimen Schlüssel“ und übertrug es auf meine "Build Server". Der Build-Server verweigert den Import des Schlüssels und sagt, dass ungültig ist.

Es klingt wie Ihr Problem ist, dass Sie Ihren geheimen Schlüssel verschlüsselt haben, bevor Sie versuchen, es zu importieren. Sie sollten Ihren geheimen Schlüssel natürlich geheim halten und ihn in einem Verzeichnis aufbewahren, das mit strikten Berechtigungen geschützt ist (zB "chmod 600 secring.gpg, wenn Sie GPG verwenden.) Aber Sie sollten den Schlüssel nicht verschlüsseln, bevor Sie ihn importieren Wenn Sie kurz darüber nachdenken, wird es klar: PGP versucht, die geheime Hälfte eines Schlüsselpaares zu importieren, damit es (unter anderem) Nachrichten entschlüsseln kann, die mit der öffentlichen Hälfte dieses Schlüsselpaars verschlüsselt wurden Haben Sie den geheimen Schlüssel (oder irgendeine andere Datei) mit dem (oder einem beliebigen) öffentlichen Schlüssel verschlüsselt, dann kann das PGP-Programm den geheimen Schlüssel, den Sie importieren wollen, nicht entschlüsseln.Der Schlüssel ist grundsätzlich kein Schlüssel Es ist eine verschlüsselte Datei/Nachricht. Der Schlüssel sollte nicht vor dem Import verschlüsselt werden. Tatsächlich ist die einzige Situation, wenn ein geheimer Schlüssel verschlüsselt werden sollte, wenn Sie ihn irgendwo (sonst) sicher aufbewahren müssen, wie zB als Notfall-Backup auf einem USB-Stick, den du irgendwo verstaut hast.

Es ist auch möglich und nicht wirklich ungewöhnlich, mehr als einen geheimen Schlüssel oder eine ID oder beide für das Verschlüsseln von Dateien und Nachrichten für verschiedene (möglicherweise nicht verwandte) Zwecke zu haben. Ich hoffe, das hilft ... verspätet.