Cum se exportă o cheie privată GPG și o cheie publică într-un fișier

Exportă cheia publică

Această comandă va exporta o versiune blindată ascii a cheie publică:

gpg --output public.pgp --armor --export username@email

Exportă cheia secretă

Această comandă va exporta o versiune blindată ascii a cheii secrete:

gpg --output private.pgp --armor --export-secret-key username@email

Preocupări de securitate, backup și stocare

O cheie publică PGP conține informații despre o adresă de e-mail. Aceasta este în general acceptabilă, deoarece cheia publică este utilizată pentru a cripta e-mailul la adresa dvs. Cu toate acestea, în unele cazuri, acest lucru nu este de dorit.

Pentru majoritatea cazurilor de utilizare, cheia secretă nu trebuie exportată și nu ar trebui să fie d atribuit . Dacă scopul este de a crea o cheie de rezervă, ar trebui să utilizați opțiunea de rezervă:

gpg --output backupkeys.pgp --armor --export-secret-keys --export-options export-backup user@email

Aceasta va exporta toate informațiile necesare în restabiliți cheile secrete, inclusiv informațiile de bază de date de încredere. Asigurați-vă că stocați orice cheie secretă de rezervă de pe platforma de calcul și într-o locație fizică sigură.

Dacă această cheie este importantă pentru dvs., vă recomand să tipăriți cheia pe hârtie folosind paperkey . Și plasarea cheii de hârtie într-un seif ignifug / impermeabil.

Servere de chei publice

În general, nu este recomandabil să postați chei publice personale pe serverele de chei. Nu există nicio metodă de eliminare a unei chei după ce a fost postată și nu există nicio metodă de a vă asigura că cheia de pe server a fost plasată acolo de către presupusul proprietar al cheii.

Este mult mai bine să plasați cheia dvs. publică pe un site pe care îl dețineți sau îl controlați. Unii oameni recomandă keybase.io pentru distribuire. Cu toate acestea, această metodă urmărește participarea la diverse comunități sociale și tehnice, ceea ce ar putea să nu fie de dorit pentru unele cazuri de utilizare.

Pentru cei cu experiență tehnică, recomand personal să încercați webkey serviciu de descoperire a cheilor la nivel de domeniu.

Comentarii

• Cheia exportată (a doua comandă) este criptată sau trebuie să criptează-l singur înainte de a-l stoca pe ag o unitate USB?
• @Julian … Cheia secretă exportată are aceeași protecție ca și cheia secretă care a fost exportată. Dacă a existat o expresie de acces, aceasta este necesară pentru a importa cheia secretă.
• Am făcut o copie de rezervă folosind metoda de mai sus, dar am uitat prostește să o testez. Cu excepția cazului în care ' îmi lipsește ceva, nu pot ' să-mi recuperez cheia publică din metoda de rezervă specificată (--export-options export-backup etc). Îmi lipsește ceva sau am înțeles greșit tipul de copiere de rezervă pe care îl făcea?
• Documentația știe --export-secret-keys, dar nu --export-secret-key.
• @OMGtechy Cum ați încercat să recuperați cheia? Aș putea restaura cheile publice prin gpg --import-options restore --import backupkeys.pgp, dar asta nu restabilește cheile secrete, doar cele publice, dacă backupkeys.pgp a fost creat de gpg --output backupkeys.pgp --armor --export --export-options export-backup. Întrucât --armor nu este necesar și export-backup ar putea fi înlocuit cu backup.

• Enumeră cheile pe care le ai: gpg --list-secret-keys
• Exportați cheia: gpg --export-secret-key name > ~/my-key.asc
• Copiați-o pe o altă mașină;
• Importați cheia: gpg --import my-key.asc

Comentarii

• Rețineți că .asc pentru ASCII, dar ieșirea gpg --list-secret-keys este binară.
• De fapt, .asc este pentru ASCII armored și ieșirea este text cifrat. Puteți să-l pisicați în siguranță și să vedeți singur. De asemenea, la fel ca majoritatea fișierelor Linux, extensia de fișier este, de asemenea, arbitrară, nu trebuie ' tehnic să fie asc. @WeihangJian
• Ar fi o idee bună să eliminați fișierul cheie după ce este importat și testat cu succes. Dacă fișierul stă acolo, ar putea fi folosit cu rea intenție.

La export cheie publică SOMEKEYID la o output fișier:

gpg --output public.pgp --export SOMEKEYID 

Când lucrați cu chei secrete, este de preferat să nu le scrieți în fișiere și, în schimb, utilizați SSH pentru a le copia direct între mașini folosind numai gpg și o conductă:

gpg --export-secret-key SOMEKEYID | ssh othermachine gpg --import 

Dacă trebuie totuși, trimiteți cheia secretă într-un fișier, vă rugăm să vă asigurați că este criptat. Iată cum să realizați utilizarea criptării AES utilizând abordarea Dark Otter :

gpg --output public.gpg --export SOMEKEYID && \ gpg --output - --export-secret-key SOMEKEYID |\ cat public.gpg - |\ gpg --armor --output keys.asc --symmetric --cipher-algo AES256 

Ultima abordare este ideală dacă doriți să creați o copie de rezervă fizică a cheilor dvs. publice și private pentru a vă proteja împotriva unei defecțiuni a discului atunci când nu există altă cale de a recâștiga accesul la cheile dvs.

Consultați Mutarea cheilor GPG în mod privat pentru considerații suplimentare.

” GnuPG (aka PGP / GPG) „ Mai multe informații

Generați cheia: gpg --gen-key

Vizualizați toate cheile: gpg --list-keys

Exportați cheia publică:

gpg --export -a --output [path-to-public-key].asc [email-address] 

Exportați cheia secretă:

gpg -a --export-secret-keys > [path-to-secret-key].asc