Subnycklar

Notera att arbete pågår fortfarande…

 

 

Motivationen

När jag började använda GPG första gången på jobbet genererade jag ett nyckelpar utan slutdatum (det är standardvalet i GPG när du skapar nya nycklar). Senare, när jag bytte jobb försvann det i röran och eftersom jag inte hade skapat ett annulleringscertifikat hade jag ingen möjlighet att plocka bort nyckeln eller göra den ogiltig <:( Nästa nyckelpar jag skapade hade giltighetstid på några år. Under åren lyckades jag samla på mig ~50 talet signaturer av andra runt om kring mig. Men när den nyckeln giltighet gick ut, förlorade jag alla signaturerna <:(

Så när jag fick börja om från början igen, letade jag efter det ultimata sättet att generera nycklar för mer säkerhet & flexibilitet. När jag gjorde alla exempel till den här guiden, använde jag mig av GnuPG version 2

 

Standardsaker…

Börja med att skapa en huvudnyckel, helst på en ”säker” dator. Skapa en huvudnyckel som enbart signerar. Beroende på hur paranoid du är :-P , så gör du det på en dator bara du har full kontroll på, tex. hemma, med ingen eller begränsad access till Internet.

När du är klar med huvudnyckeln så öppnar du den för editering för att lägga till subnycklar, en för endast kryptering och en för endast signering. Till skillnad från huvudnyckeln, så bör dessa ha begränsad livslängd. Ju paranoidare du är, desto kortare bör livslängden på subnyckarna vara…

Ordna till säkerheten…

Nu är det dax att plocka bort den privata huvudnyckeln från nyckelringen. Den återstående nyckelringen kan du sedan exportera/kopiera till andra datorer som är mindre säkra, tex. en laptop som du reser med och kopplar upp på mot Internet eller andra ”osäkra” (publika) nätverk.

För den paranoide…

För den som inte känner sig tillräckligt säker endå, så kan man skapa annulleringscertifikat för annullera huvudnyckeln och dess subnycklar.

 

Referensmaterial (på engelska):

* Wikipedia om GNU Privacy Guard
* The GNU Privacy Handbook
* Using multiple subkeys in GPG