GnuPG-2子密钥使用
子密钥
主私钥有所有功能,但实际使用中仅用来生成子密钥,要保证主密钥的绝对安全。
所以一般只用来生成子密钥,使用子密钥参与工作。
即:subkey
,可以看到子密钥拥有以下这些功能,除了没有认证功能
类型 | 认证 [C] | 签名 [S] | 身份验证 [A] | 加密 [E] |
---|---|---|---|---|
主私钥 | 有 | 有 | 有 | 有 |
子私钥 | 无 | 有 | 有 | 有 |
单一公钥机制对于服务端的验证特别友好,无论用户有多少个子密钥,服务器只需要一份证书(公钥)就够了,而不需要额外开销,去查询这份证书是哪个上级签发的。
什么叫单一公钥机制?
就是主密钥生成一个公钥,所有的子私钥都可以对这个公钥进行签名、身份验证、加密操作。
生成子密钥
子密钥可以指定上面的:[S]、[A]、[E] 的功能,可以全部拥有,也可以功能独立,取决于在添加时的指定。
1 | gpg --expert --edit-key [用户ID] |
参数说明:
--expert
:进入gpg命令模式--edit-key
:操作用户ID
输入addkey
,添加子密钥,选择一种加密模式,选 4
1 | gpg> addkey |
选择长度
1 | RSA 密钥的长度应在 1024 位与 4096 位之间。 |
1 | 请设定这个密钥的有效期限。 |
验证子密钥
查看刚生成的子密钥:
1 | gpg -k DAF9C7421FB1B533 |
导出子密钥
实际使用中,主密钥不会直接参与验证工作,而是生成多个子密钥去工作,这样做的好处是,子密钥如果泄露可以吊销,子密钥的功能也是有限的。
将生成的子密钥发送给服务端进行验证工作。
1 | gpg --armor --output private-key.txt --export-secret-subkey [用户ID] |
参数说明:
--armor
: 以ASCII形式显示,不推存,容易密钥暴露明文--export-secret-subkey
:导出子密钥--output
:子密钥文件名
GPG 吊销证书
这个就是字面意思,吊销证书。场景就是如果私钥丢失了,那么原来的公钥也就不能信任了。
所以可以生成一个员销证书,来吊销原来的证书。
因此 GPG 多了一个“吊销证书”(revocation certificate),拿着这个证书你就能证明
- 确认吊销者身份
- 把丢失当前这个密钥作废
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 人话翻译机!
评论