He creado una cuenta de Keybase e importado las identidades "fáciles" (por ejemplo, Twitter, Reddit). Ahora es el momento de obtener mi llave PGP allí.
Esperé instrucciones para firmar con PGP un texto específico de la aplicación Keybase (Windows) y volver a cargar los datos firmados (base64 o similar). En cambio, lo que encuentro es esto:
# import a key from gpg's key chain
keybase pgp select
#import from stdin and send the public half to Keybase
cat privkey.asc | keybase pgp import
# for more options
keybase pgp help
Al principio pensé que eran 3 instrucciones que debían seguirse en orden, pero luego me di cuenta de que eran 3 cosas principales que podía hacer.
¿Puede alguien explicar en términos básicos (conozco los conceptos básicos de PGP y pares de clave pública / privada) lo que las dos primeras opciones implican detrás de escena?
Preguntas específicas que tendría:
- ¿Las opciones 1 o 2 dan acceso permanente para la aplicación Keybase a mi clave privada PGP? ¿O es solo una vez para firmar una prueba de que la clave pública es mía?
- ¿La opción 2 significa que necesita tener su clave privada en un archivo en su ubicación actual? ¿Está el archivo normalmente protegido con su contraseña?
- ¿Algún otro riesgo específico o cosas de las que deba tener conocimiento? Quiero asegurarme de que muy mi clave privada PGP sea la mía propia.
Yo puedo especular sobre las respuestas, pero como es importante, estoy seguro de que es mejor preguntar.