Snažím se vytvořit klíče GPG, které budou použity pro apt úložiště hostované na mém boxu Centos7. Vytvořil jsem nového uživatele „apt“ a poté jsem se pokusil vytvořit klíče, ale na samém konci se uvádí, že potřebuji přístupovou frázi, ale pak se okamžitě zavře s oznámením zrušeno uživatelem. Ne, nebylo!
Od té doby jsem úspěšně zopakoval tytéž kroky root a jako své standardní uživatelské jméno, které je náhodou ve skupině Wheels.
Dvě otázky:
- Je dobrý nápad používat různé klíče gpg pro různá použití, jako je toto úložiště apt, a měly by být klíče někdy vytvořeny jako root?
- Proč nemohu pro tohoto uživatele vytvořit klíč gpg? Musím pro tohoto uživatele nejprve vytvořit nějaký jiný klíč?
Díky
[[email protected] ~]$ gpg --gen-key
gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Please select what kind of key you want:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
Your selection?
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0) 1y
Key expires at Thu 12 Jul 2018 04:32:05 PM UTC
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: somename
Email address: [email protected]
Comment:
You selected this USER-ID:
"somename <[email protected]>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
gpg: cancelled by user
gpg: Key generation canceled.
[[email protected] ~]$
Přijatá odpověď:
Pokud jde o chybu „zrušeno uživatelem“:GnuPG se snaží ujistit, že čte přístupovou frázi přímo z terminálu, nikoli (např.) z stdin. K tomu se pokusí otevřít tty přímo. Bohužel, oprávnění k souborům překážejí — zařízení tty vlastní uživatel, pod kterým se přihlašujete. Takže jej může otevřít pouze tento uživatel a root. Zdá se, že GnuPG hlásí chybu nesprávně a říká, že jste zrušili (i když ve skutečnosti bylo povolení odepřeno).
Pokud jde o to, zda byste měli mít samostatný klíč pro úložiště:ano. Napadá mě několik důvodů:
- Úložiště může spravovat více než jedna osoba. Všichni budou potřebovat přístup ke klíči. Zjevně jim nechcete poskytnout přístup ke svému osobnímu klíči.
- Software zpracovávající nové balíčky bude potřebovat přístup ke klíči. U mnoha úložišť to znamená, že musíte mít klíč k dispozici na počítači připojeném k internetu. To vyžaduje nižší úroveň zabezpečení, než jakou byste v ideálním případě měli na svém osobním klíči.
- Pokud zpracováváte nahrávání automaticky, možná budete muset uložit klíč bez přístupové fráze. Zjevně snižuje zabezpečení.
- V případě kompromitace vašeho osobního klíče je hezké, že jej stačí odvolat. Totéž s kompromitací klíče úložiště. Díky tomu je odvolání kompromitovaného klíče levnější.
Je docela normální používat k podpisu klíče úložiště svůj osobní klíč.
Pokud jde o spouštění generování klíčů jako root:není ideální (nespouštějte věci jako root bez dobrého důvodu), ale pravděpodobně to ve skutečnosti není problém.