¿Existe una mejor práctica común para nombrar claves PGP públicas y privadas al exportarlas?

9

¿Existe una mejor práctica común para nombrar claves GPG públicas y privadas exportadas al exportarlas o almacenarlas como archivos?

Sé que a GnuPG no le importa a qué claves se nombran cuando las importas. Sin embargo, debe haber algunas convenciones de nombres para la exportación. Siempre hay para este tipo de cosas. Simplemente no puedo encontrar una respuesta clara aquí o a través de Google.

Me imagino que podría no haber una mejor práctica común para nombrar claves privadas. En entornos de servidor, la clave privada rara vez se exporta. Pero para el cifrado de la comunicación personal, se debe hacer una copia de seguridad de una clave privada y posiblemente importarla en una computadora nueva. Por lo tanto, debe ser exportado. En teoría, usted es la única persona que verá el archivo de clave privada y sabrá lo que es, por lo que no hay necesidad de una convención de nomenclatura de "mejores prácticas". Pero el archivo de clave pública debe compartirse y, por lo tanto, debería existir alguna práctica recomendada común.

Supongamos que acabo de crear un nuevo par de claves: Bruce Wayne < bruce@wayneenterprises.com> .

Luego, exporto las claves privadas y públicas como archivos blindados ASCII: la clave privada se almacena en un lugar seguro para la copia de seguridad y la clave pública se comparte con las personas.

¿Cómo debo nombrar los archivos? ¿Qué extensión debo usar?

Genéricamente ...
public.key
private.key

Usando el UID "Nombre real" ...

brucewayne-public.asc
brucewayne-private.asc

Utilizando la dirección de correo electrónico de UID ...
bruce@wayneenterprises.com.public
bruce@wayneenterprises.com.private

Cuando se generan las claves, se muestra un ID de ocho (hex) caracteres. He visto una clave pública que usa esto como nombre de archivo.

~ # gpg --list-keys
/root/.gnupg/pubring.kbx
------------------------
pub   rsa2048/1234ABCD 2016-08-20 [SC]
uid         [ultimate] Bruce Wayne <bruce@wayneenterprises.com>
sub   rsa2048/5678EABC 2016-08-20 [E]

Si hay alguna mejor práctica común, hágamelo saber. Y, si es posible, indíqueme cualquier documentación o manual que lo use.

    
pregunta lukejanicke 20.08.2016 - 14:23
fuente

1 respuesta

8

Aunque obviamente es muy difícil demostrar que es negativo, creo que la razón por la que no has encontrado una "mejor práctica común" es que no existe ninguna.

A la clave en sí no le importa su nombre de archivo. Además, hay formas de lidiar con las claves exportadas que nunca involucran ningún archivo en un sistema de archivos. Considere algo relativamente trivial, como gpg --export 0xDEADBEEF | ssh me@remote-server.example.com gpg --import .

Sin embargo, debe nombrar el archivo de clave exportado de modo que tenga una idea de qué clave contiene, desde el propio archivo exportado (irónicamente, más aún si el archivo está ASCII blindado que si no está) no mantendrá esa información en un formato fácilmente legible a menos que la edite usted mismo (por ejemplo, en el campo Comment: de un blob de datos blindados ASCII).

Para publicación, el ID de clave hexadecimal suele ser un buen lugar para comenzar porque es razonablemente único, especialmente si usa ID de clave de 64 bits completa o incluso la huella digital (que es prácticamente , pero no teóricamente, garantizado para ser único).

Para el almacenamiento personal, o, por ejemplo, para enviar por correo electrónico la clave pública a un corresponsal, por lo general, usted desea poder diferenciar las claves por sí mismo, pero en realidad no le importa la singularidad global. Por lo tanto, algo que identifique la clave para usted es probablemente un buen lugar para comenzar; por lo tanto, puede comenzar mirando información como el nombre asociado, la dirección de correo electrónico asociada, la fecha de generación o vencimiento, o algo por el estilo. Si genera una nueva clave una vez cada 18 meses, por ejemplo, la fecha de generación podría ser una cosa razonable para incluir en los nombres de los archivos, ya que le informa sobre la cronología de las claves, así como para la que podría esperar usarlas. un mensaje específico.

He visto una variedad de convenciones de nomenclatura para diferenciar entre las partes privadas y públicas de la clave, pero la conclusión es que realmente no importa en absoluto mientras puedas decir sin riesgo de ambigüedad qué archivo es cuál. Si desea agregar -private y -public antes de la extensión del nombre del archivo, o si desea nombrar a uno .asc y al otro .private , o al esquema que prefiera, realmente no importa en absoluto: solo elija uno que le haga evidente qué archivo es cuál.

    
respondido por el a CVn 20.08.2016 - 19:25
fuente

Lea otras preguntas en las etiquetas