Tengo una computadora de escritorio y una computadora portátil que ejecutan Debian. Todos los dispositivos tienen discos duros encriptados. También tengo un teléfono con Cyanogenmod / Android.
¿Cuál es la mejor manera de administrar las claves?
Idealmente, quiero poder listar una clave pública.
La respuesta obvia es usar gpg -a --export-secret-key y gpg --import para compartir la clave que tienes entre los dispositivos. (Algunas personas sugieren copiar el archivo ~/.gnupg/secring.gpg o, lo que es peor, todo el directorio ~/.gnupg/ . No hagas eso; me he encontrado con errores sutiles que hacen que el formato binario no sea portátil en las implementaciones, aunque si te limitas a solo GnuPG reciente, casi seguro que estás bien; las diferencias en gpg.conf te pueden morder, así que es mejor exportar / importar las claves todo el tiempo.) - Este es el esquema que uso normalmente (no soy dueño de un Android dispositivo).
Si tiene sistemas con diferentes niveles de seguridad, por ejemplo, Cyanogen tiene esta puerta trasera de teléfono - puede usar un esquema de subclave en su lugar: primero crea una clave de solo signo , luego crea dos o más subclaves (una subclave de solo signo con la que puede firmar mensajes y (si es necesario : normalmente no hagas eso, usa tu clave maestra para ello) otras claves, y una subclave de cifrado solo con la que puedes descifrar los correos electrónicos que otros cifran en esta subclave). Luego, solo exporta las subclaves que necesita en el dispositivo de menor confianza. La Debian Wiki tiene instrucciones muy detalladas sobre cómo hacer esto; la esencia es que primero exporta toda la clave a una copia de seguridad, luego elimina localmente la subclave "maestra", luego exporta nuevamente (esta vez falta el maestro, quedando solo la clave). subclaves que realmente desea exportar), luego importe el archivo de copia de seguridad creado en el primer paso. Importe solo la segunda exportación en el dispositivo.
No cree múltiples claves. La gente se confundirá sobre cuál usar.
Estoy dispuesto a agregar más detalles; esta es una respuesta un tanto genérica; Más detalles dependen de sus casos de uso (por ejemplo, ¿desea leer el correo cifrado en todos los dispositivos o solo uno, o desea leer solo un poco de correo cifrado en todos los dispositivos pero tiene otro correo cifrado al que no puede acceder su dispositivo Android? firma).
Aquí hay una respuesta similar, aunque no será una sola clave pública, usará una clave maestra, luego las teclas "intermedias" o subclaves.
Estaba estudiando este mismo tipo de cosas porque iba a registrarme en Keybase.io, pero parece que solo permite una clave GPG / PGP en lugar de por dispositivo.
Lea otras preguntas en las etiquetas encryption