如果開(kāi)發(fā)者的 PGP 密鑰被偷了，危害非常大。了解一下如何更安全。-- Konstantin Ryabitsev有用的原文鏈接請(qǐng)?jiān)L問(wèn)文末的“原文鏈接”獲得可點(diǎn)擊的文內(nèi)鏈接、全尺寸原圖和相關(guān)文章。致謝編譯自　|　
https://www.linux.com/blog/learn/pgp/2018/3/protecting-code-integrity-pgp-part-4-moving-your-master-key-offline-storage?作者　|　Konstantin Ryabitsev譯者　|　qhwdw ?共計(jì)翻譯：175.5?篇 貢獻(xiàn)時(shí)間：421 天

如果開(kāi)發(fā)者的 PGP 密鑰被偷了，危害非常大。了解一下如何更安全。

在本系列教程中，我們?yōu)槭褂?PGP 提供了一個(gè)實(shí)用指南。你可以從下面的鏈接中查看前面的文章：

??第一部分：基本概念和工具[1]??第二部分：生成你的主密鑰[2]??第三部分：生成 PGP 子密鑰[3]

這是本系列教程的第四部分，我們繼續(xù)本教程，我們將談一談如何及為什么要將主密鑰從你的家目錄移到離線存儲(chǔ)中。現(xiàn)在開(kāi)始我們的教程。

清單

??準(zhǔn)備一個(gè)加密的可移除的存儲(chǔ)(必要)??備份你的 GnuPG 目錄(必要)??從你的家目錄中刪除主密鑰(推薦)??從你的家目錄中刪除吊銷證書(推薦)

考慮事項(xiàng)

為什么要從你的家目錄中刪除你的主 [C] 密鑰 ？這樣做的主要原因是防止你的主密鑰失竊或意外泄露。對(duì)于心懷不軌的人來(lái)說(shuō)，私鑰對(duì)他們具有很大的誘惑力 —— 我們知道有幾個(gè)惡意軟件成功地實(shí)現(xiàn)了掃描用戶的家目錄并將發(fā)現(xiàn)的私鑰內(nèi)容上傳。

對(duì)于開(kāi)發(fā)者來(lái)說(shuō)，私鑰失竊是非常危險(xiǎn)的事情 —— 在自由軟件的世界中，這無(wú)疑是身份證明失竊。從你的家目錄中刪除私鑰將幫你防范這類事件的發(fā)生。

備份你的 GnuPG 目錄

!!!絕對(duì)不要跳過(guò)這一步!!!

備份你的 PGP 密鑰將讓你在需要的時(shí)候很容易地恢復(fù)它們，這很重要！(這與我們做的使用 paperkey 的災(zāi)難級(jí)備份是不一樣的)。

準(zhǔn)備可移除的加密存儲(chǔ)

我們從取得一個(gè)(最好是兩個(gè))小型的 USB “拇指“ 驅(qū)動(dòng)器(可加密 U 盤)開(kāi)始，我們將用它來(lái)做備份。你首先需要去加密它們：

加密密碼可以使用與主密鑰相同的密碼。

備份你的 GnuPG 目錄

加密過(guò)程結(jié)束之后，重新插入 USB 驅(qū)動(dòng)器并確保它能夠正常掛載。你可以通過(guò)運(yùn)行?mount?命令去找到設(shè)備掛載點(diǎn)的完全路徑。(在 Linux 下，外置介質(zhì)一般掛載在?/media/disk?下，Mac 一般在它的?/Volumes?下)

你知道了掛載點(diǎn)的全路徑后，將你的整個(gè) GnuPG 的目錄復(fù)制進(jìn)去：

$ cp -rp ~/.gnupg [/media/disk/name]/gnupg-backup

(注意：如果出現(xiàn)任何套接字不支持的錯(cuò)誤，沒(méi)有關(guān)系，直接忽略它們。)

現(xiàn)在，用如下的命令去測(cè)試一下，確保它們能夠正常地工作：

$ gpg --homedir=[/media/disk/name]/gnupg-backup --list-key [fpr]

如果沒(méi)有出現(xiàn)任何錯(cuò)誤，說(shuō)明一切正常。彈出這個(gè) USB 驅(qū)動(dòng)器并給它粘上一個(gè)明確的標(biāo)簽，以便于你下次需要它時(shí)能夠很快找到它。接著，將它放到一個(gè)安全的 —— 但不要太遠(yuǎn) —— 的地方，因?yàn)閺默F(xiàn)在起，你需要偶爾使用它來(lái)做一些像編輯身份信息、添加或吊銷子證書、或簽署其它人的密鑰這樣的事情。

刪除主密鑰

我們家目錄中的文件并沒(méi)有像我們所想像的那樣受到保護(hù)。它們可能會(huì)通過(guò)許多不同的方式被泄露或失竊：

??通過(guò)快速?gòu)?fù)制來(lái)配置一個(gè)新工作站時(shí)的偶爾事故??通過(guò)系統(tǒng)管理員的疏忽或惡意操作??通過(guò)安全性欠佳的備份??通過(guò)桌面應(yīng)用中的惡意軟件(瀏覽器、pdf 查看器等等)??通過(guò)跨境脅迫

使用一個(gè)很好的密碼來(lái)保護(hù)你的密鑰是降低上述風(fēng)險(xiǎn)的一個(gè)很好方法，但是密碼能夠通過(guò)鍵盤記錄器、背后窺視、或其它方式被發(fā)現(xiàn)。基于以上原因，我們建議去配置一個(gè)從你的家目錄上可移除的主密鑰，將它保存在一個(gè)離線存儲(chǔ)中。

刪除你的主密鑰

請(qǐng)查看前面的節(jié)，確保你有完整的你的 GnuPG 目錄的一個(gè)備份。如果你沒(méi)有一個(gè)可用的備份，下面所做的操作將會(huì)使你的主密鑰失效！！！

首先，識(shí)別你的主密鑰的 keygrip：

$ gpg --with-keygrip --list-key [fpr]

它的輸出應(yīng)該像下面這樣：

pub ? rsa4096 2017-12-06 [C] [expires: 2019-12-06]

? ? 111122223333444455556666AAAABBBBCCCCDDDD

? ? Keygrip = AAAA999988887777666655554444333322221111

uid ? ? ? ? ? [ultimate] Alice Engineer <alice@example.org>

uid ? ? ? ? ? [ultimate] Alice Engineer <allie@example.net>

sub ? rsa2048 2017-12-06 [E]

? ? Keygrip = BBBB999988887777666655554444333322221111

sub ? rsa2048 2017-12-06 [S]

? ? Keygrip = CCCC999988887777666655554444333322221111

找到?pub?行下方的?Keygrip?條目(就在主密鑰指紋的下方)。它與你的家目錄下?.gnupg?目錄下的一個(gè)文件是一致的：

$ cd ~/.gnupg/private-keys-v1.d

$ ls

AAAA999988887777666655554444333322221111.key

BBBB999988887777666655554444333322221111.key

CCCC999988887777666655554444333322221111.key

現(xiàn)在你做的全部操作就是簡(jiǎn)單地刪除與主密鑰 keygrip 一致的?.key?文件：

$ cd ~/.gnupg/private-keys-v1.d

$ rm AAAA999988887777666655554444333322221111.key

現(xiàn)在，如果運(yùn)行?--list-secret-keys?命令將出現(xiàn)問(wèn)題，它將顯示主密鑰丟失(#?表示不可用)：

$ gpg --list-secret-keys

sec# rsa4096 2017-12-06 [C] [expires: 2019-12-06]

111122223333444455556666AAAABBBBCCCCDDDD

uid [ultimate] Alice Engineer <alice@example.org>

uid [ultimate] Alice Engineer <allie@example.net>

ssb rsa2048 2017-12-06 [E]

ssb rsa2048 2017-12-06 [S]

刪除吊銷證書

你應(yīng)該去刪除的另一個(gè)文件是吊銷證書(刪除之前，確保你的備份中有它)，它是使用你的主密鑰自動(dòng)創(chuàng)建的。吊銷證書允許一些人去永久標(biāo)記你的證書為吊銷狀態(tài)，這意味著它無(wú)論在任何用途中將不再被使用或信任。一般是使用它來(lái)吊銷由于某些原因不再受控的一個(gè)密鑰 —— 比如，你丟失了密鑰密碼。

與使用主密鑰一樣，如果一個(gè)吊銷證書泄露到惡意者手中，他們能夠使用它去破壞你的開(kāi)發(fā)者數(shù)字身份，因此，最好是從你的家目錄中刪除它。

cd ~/.gnupg/openpgp-revocs.d

rm [fpr].rev

在下一篇文章中，你將學(xué)習(xí)如何保護(hù)你的子密鑰。敬請(qǐng)期待。

從來(lái)自 Linux 基金會(huì)和 edX 的免費(fèi)課程?“Linux 入門”[4]?中學(xué)習(xí)更多 Linux 知識(shí)。

---

via:?https://www.linux.com/blog/learn/pgp/2018/3/protecting-code-integrity-pgp-part-4-moving-your-master-key-offline-storage

作者：Konstantin Ryabitsev[6]?譯者：qhwdw?校對(duì)：wxy

本文由?LCTT?原創(chuàng)編譯，Linux中國(guó)?榮譽(yù)推出

總結(jié)

以上是生活随笔為你收集整理的gpg加密命令 linux_用 PGP 保护代码完整性（四）：将主密钥移到离线存储中 | Linux 中国...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。