2021-46: GPG 增加新的 Subkey
内容提要
本文介绍了如何为 GPG 增加新的 Subkey。作者建议使用一个主 Key 和多个 Subkey 的方案,每年签发一次 Subkey。步骤包括导入 Secret Key、进入修改界面、添加新的 Subkey(选择 ECC 算法),最后保存并确认新 Subkey 的正常工作。
关键要点
-
建议使用一个主 Key 和多个 Subkey 的方案,每年签发一次 Subkey。
-
导入 Secret Key 的命令为 gpg --import <secret-key-file>。
-
进入修改界面的命令为 gpg --expert --edit-key <key-id>,需要加上 --expert 参数以使用 ECC 算法。
-
在交互式界面中输入 addkey 来增加新的 Subkey,选择 (10) ECC (sign only) 和 Curve 25519 算法。
-
完成后输入 save 保存并退出,确认新的 Subkey 工作正常后可以使用 gpg --delete-secret-keys <secret-key-id> 卸载 Secret Key。
延伸解读
Subkey 的重要性
使用多个 Subkey 可以提高 GPG 密钥的安全性和灵活性。主 Key 负责认证,而 Subkey 则可以定期更新,降低密钥泄露的风险。每年签发新的 Subkey 使得即使某个 Subkey 被攻破,损失也相对有限。
ECC 算法的优势
选择 ECC 算法(如 Curve 25519)作为 Subkey 的加密方式,能够提供更高的安全性和更快的性能。相比传统的 RSA 算法,ECC 在相同安全级别下所需的密钥长度更短,适合资源有限的环境。
操作步骤的注意事项
在执行 gpg 命令时,确保使用 --expert 参数以访问高级功能。此外,操作过程中要仔细确认每一步,特别是在添加和保存 Subkey 时,以避免因操作失误导致的密钥管理问题。
延伸问答
如何为 GPG 增加新的 Subkey?
首先导入 Secret Key,使用命令 gpg --import <secret-key-file>。然后进入修改界面,使用 gpg --expert --edit-key <key-id>。接着在交互式界面中输入 addkey,选择 (10) ECC (sign only) 和 Curve 25519 算法,最后保存并确认新 Subkey 的正常工作。
为什么建议使用一个主 Key 和多个 Subkey 的方案?
这种方案可以提高安全性,主 Key 最高信任等级且无过期时间,而 Subkey 每年签发一次,降低了主 Key 的风险。
如何确认新的 Subkey 工作正常?
在完成 Subkey 的添加后,可以使用 gpg --delete-secret-keys <secret-key-id> 卸载 Secret Key,确保新的 Subkey 正常工作。
使用 GPG 时遇到的常见错误是什么?
常见错误包括 'gpg failed to sign the data' 和 'fatal: failed to write commit object',通常是因为 Subkey 过期或未正确配置。
如何进入 GPG 的修改界面?
使用命令 gpg --expert --edit-key <key-id> 进入修改界面,--expert 参数是必要的,特别是当需要使用 ECC 算法时。
在 GPG 中选择 Subkey 的算法时应该注意什么?
在选择 Subkey 的算法时,应选择 (10) ECC (sign only) 和 Curve 25519,以确保安全性和兼容性。
