PGP 专业私钥生成

jasonmun

一般用 PGP 工具生成的私钥,
它的主私钥用于 Certify (核证) 和 Sign (签名),
而副私钥则用于 Encrypt (加密)

通常, 我们用 Sign 和 Encrypt 这两部分,
Certify 是当加或撤副私钥时才会有用 (编辑)

我们可以生成主私钥用于 Certify (核证),
和2个副私钥则分别用于 Sign (签名) 和 Encrypt (加密),
这样的话, 可以做到主副私钥分离.

1) 专业私钥生成
https://jasonmun.blogspot.com/2019/02/pgp.html

2) 输出公钥 + 私钥 + 副私钥

公钥可自己发布出去或上传到 keyserver,
这可用来加密文字或文件, 私钥则可用来解密
(一般输出都用明文, 即是用看得懂的 ascii)

$ gpg2 -a -o 公钥_ascii.asc --export '<email>'
$ gpg2 -a -o 私钥_ascii.asc --export-secret-keys '<email>'
$ gpg2 -o 私钥_二进制_pgp --export-secret-keys '<email>'

列出所有 KEY
$ gpg2 --list-secret-keys --keyid-format long

sec   rsa4096/<MASTER_KEY> 2019-02-23 [C]
      <MASTER_KEY>
uid                 [ultimate] Bad Guy <email>
ssb   rsa4096/<SUB_KEY_1> 2019-02-23 [S]
ssb   rsa4096/<SUB_KEY_2> 2019-02-23 [E]

只输出2个副私钥, 不包含主私钥
$ gpg2 --export-secret-subkeys <SUB_KEY_1>! <SUB_KEY_2>! > exported_subkeys

3) seahorse (Passwords and Keys) 安装

$ sudo apt install seahorse seahorse-nautilus



打开 Passwords and Keys,
先将原来的 Personal PGP key 撤除(Delete).

4) 私钥文件输入

如要将主副私钥分离 (比较安全),
(还是可以用于副私钥 Sign 和 Encrypt 部分,
就是不能用 add/del subkeys 主私钥 Certify 部分)
用 File - Import 将以上 exported_subkeys 文件输入即可

如不要将主副私钥分离,
用 File - Import 将以上 私钥_ascii.asc / 私钥_二进制_pgp 文件输入即可

5) 其它支持 OpenPGP 软件

以上生成的公钥与私钥可以用在
支持 OpenPGP 的其它软件, 如以下

webmail + OpenPGP = 邮件加密 https://www.mailvelope.com/en
Thunderbird + Enigmall https://www.enigmail.net/index.php/en/home
OpenkeyChain https://www.openkeychain.org/
其它 https://www.openpgp.org/software/