L'utilisation de la même clé PGP sur plusieurs serveurs?

Question

Je suppose que cette question relève des «meilleures pratiques» pour les clés PGP. D'abord un arrière-plan très rapide. Je suis à la tête d'un projet open source et j'ai reçu de nombreuses demandes de publication dans le référentiel "Apache Maven". Pour ce faire, je dois signer chaque version avec une clé PGP. J'ai donc utilisé PGP et généré une clé publique/privée sur mon ordinateur local. J'ai exporté et chiffré la «clé secrète» et l'ai transférée à mon «serveur de construction». Le serveur de construction refuse d'importer la clé, indiquant qu'elle n'est pas valide. Une analyse plus poussée m'amène à croire que parce que notre serveur de construction s'exécute sous un ID utilisateur différent de celui utilisé sur mon ordinateur local, ils sont incompatibles.

J'aurais pensé, que la paire de clés PGP est liée à mon nom, que I en tant que personne ne devrait posséder que la clé ONE PGP? Mais est-ce vraiment le cas? Dois-je en générer un par machine? Et utilisez simplement l'importation/exportation pour les sauvegarder? Je peux le faire très bien, c'est quand j'essaye de reproduire une clé secrète de PGP sur plusieurs machines cela semble juste vraiment difficile et comme si j'utilise peut-être PGP dans le mauvais sens. À savoir, je pense que je crée une clé pour moi-même et la copie sur le serveur de construction, peut-être aussi l'utiliser pour crypter le courrier électronique de moi-même (si je devais le faire), etc

Answer 1

Il n'est pas inhabituel d'avoir plus qu'une clé PGP. Surtout si vous remplissez des rôles différents.

An example

À principales parties signataires, il arrive souvent que les participants présentent plusieurs clés PGP. Une pour les communications privées, une pour les versions de signature à un projet, un autre pour la signature à un autre projet, etc.

Answer 2

Si je comprends votre commentaire correctement,

J'exporté et chiffré la « clé secrète » et transféré à mon "serveur de construction". Le serveur de construction refuse d'importer la clé, en disant invalide.

votre problème est que vous avez crypté votre clé secrète avant d'essayer de l'importer. Vous devez bien sûr garder secrète votre clé secrète et la conserver dans un répertoire protégé avec des permissions strictes (par exemple, "chmod 600 secring.gpg si vous utilisez GPG) .Mais vous ne devriez pas chiffrer la clé avant de l'importer. Si vous y réfléchissez un instant, cela deviendra clair: PGP essaie d'importer la moitié secrète d'une paire de clés pour décrypter (entre autres) les messages cryptés en utilisant la moitié publique de cette paire de clés. avoir crypté la clé secrète (ou n'importe quel fichier d'ailleurs) en utilisant la clé publique (ou toute autre), le programme PGP ne sait pas comment décrypter cette clé secrète que vous essayez d'importer. Il s'agit d'un fichier/message crypté La clé ne doit pas être cryptée avant d'être importée En fait, la seule situation où une clé secrète doit être cryptée est si vous devez la stocker quelque part (autrement) en toute sécurité, comme une sauvegarde d'urgence sur un Porte-clés USB que vous gardez caché quelque part

En outre, il est possible, et pas vraiment inhabituel, d'avoir plus d'une clé secrète ou d'un ID, ou les deux, pour crypter des fichiers et des messages à des fins diverses (éventuellement non liées). J'espère que cela aide ... tardivement.