Синхронизация цепочек ключей GnuPG 1.4 и GnuPG 2.1

1772
hub

При импорте моих ключей в GnuPG в новой системе я учел следующее:

Вопрос

  1. Можно ли синхронизировать цепочки для ключей gpg и gpg2 (gpg2.1)?
  2. Разумно ли это делать?

принимая во внимание

Я нашел этот ответ на вопрос «Совместимы ли GnuPG 1 и GnuPG 2 друг с другом?» , это заявляет следующее:

Важное изменение пришло с GnuPG 2.1, которая объединяет ранее разделенные публичные и приватные ключевые ключи (pubring.gpg vs. secring.gpg) в открытую цепочку ключей. Это было реализовано таким образом, чтобы все было совместимо, поэтому вы все еще можете использовать GnuPG 1, когда в GnuPG 2.1 интегрирована закрытая цепочка ключей, но изменения в закрытых ключах не будут отображаться для соответствующей другой реализации. Из журнала изменений:
[...] позволяет сосуществовать более старые версии GnuPG с GnuPG 2.1. Однако любое изменение закрытых ключей с использованием нового gpg не будет отображаться при использовании версий GnuPG до 2.1 и наоборот.

Синхронизация на уровне файлов не возможна, также, кажется, нет встроенного механизма для синхронизации цепочек.

Могу ли я просто экспортировать все ключи pub и sec из gpg и импортировать их через gpg2 (cronjob и т. Д.) И наоборот, или это может привести к непредвиденным последствиям?

Решение

Я не автоматизировал синхронизацию ключей, но перенес все ключи из моей цепочки для ключей gpg в цепочки для ключей gpg2 и вставил символическую ссылку gpg2 в gpg, чтобы всегда использовать gpg2. Это кажется лучшим решением, чем удерживать все клавиши в разных брелоках.

gpg --export | gpg2 --import gpg --export-secret-keys | gpg2 --import sudo mv /usr/bin/gpg /usr/bin/gpg1 sudo ln -s /usr/bin/gpg2 /usr/bin/gpg
3

1 ответ на вопрос

3
Jens Erat

Синхронизация через экспорт и импорт безопасна, но имейте в виду, что GnuPG не может объединять секретные подразделы, но начиная с GnuPG 2.1 - поэтому, если вы что-то измените с помощью подразделов в GnuPG 2.1, вам придется удалить весь ключ в GnuPG 1 перед импортом. И наоборот, должно быть безопасно. Я не уверен, нужно ли вам экспортировать / импортировать trust для этого процесса синхронизации.

Чтобы воспользоваться новой функцией GnuPG 2.1 (например ECC ключей, ...), я предпочел бы попробовать не использовать GnuPG 1, хотя и символическая gpg2к gpgвместо. Как правило, они должны быть совместимыми, если другие приложения не взаимодействуют с GnuPG так, как они не должны. Если у вас есть какие - либо вопросы, восходящие будет легко (или просто держать gpgв gpg1держать GnuPG 1, но изменить значение по умолчанию для GnuPG 2.x).

Похожие вопросы