Ich habe GPG-Schlüssel getestet und die Änderungen der Schlüssel beim Hinzufügen/Entfernen von Benutzern auf dem Schlüssel untersucht. Wenn ich einen Benutzer hinzufügeAlicebei der Schlüsselgenerierung. Ich exportiere den öffentlichen und privaten Schlüssel des Schlüsselpaars. Und füge dann den Benutzer hinzuBobzum gleichen Schlüssel. Und schließlich den gleichen Schlüssel exportieren, außer mitBobals Benutzer hinzugefügt. Dann vergleiche ich dieAliceUndAlice/BobTasten. DieAliceDer öffentliche Schlüssel hat einen großen Block, ähnlich demAlice/Boböffentliche Schlüssel und hat auch ein paar Unterschiede an vielen Stellen. DieAlice/BobDer öffentliche Schlüssel ist wesentlich länger als derAliceSchlüssel. Ich stelle fest, dass das Gleiche für die privaten Schlüssel gilt. Interessant finde ich, dass wenn ich mit demAliceÖffentlicher Schlüssel und Entschlüsselung mit demAlice/Bobprivater Schlüssel, ich erhalte die gleiche Meldung.
Hier sind meine Fragen:
- Haben E-Mail/Benutzer-ID Auswirkungen auf den öffentlichen und privaten Schlüssel?
- Kann man die Benutzer-ID aus dem öffentlichen Schlüssel extrahieren? Wenn ja, wie funktioniert das?
- Wie funktioniert die Verschlüsselung mitAliceund Entschlüsselung mitAlice/Bobarbeiten?
- Wird ein bestimmter Teil jedes Schlüssels für die Verschlüsselung/Entschlüsselung verwendet und bleiben andere Teile für die Benutzer-ID und E-Mails übrig?
Antwort1
Und fügen Sie dann den Benutzer Bob zum gleichen Schlüssel hinzu
Und das Wichtigste: Dies ist nicht der Zweck der PGP-Schlüssel-Benutzer-IDs.
Benutzer-IDs sind lediglich Bezeichnungen.Sie können nicht für Zugriffskontrollen jeglicher Art verwendet werden – sie informieren andere nur über den Besitzer des Schlüssels. Es sollte nur einen Besitzer eines Schlüssels geben und alle Benutzer-IDs auf einem einzelnen Schlüssel sollten dieselbe Person beschreiben.
(Der Grund, warum Sie mehrere Benutzer-IDs hinzufügen können, besteht einfach darin, dass dieselbe Person mehrere E-Mail-Adressen und sogar mehrere Namen haben kann.)
Wenn mehrere Personen PGP verwenden müssen, sollte jeder von ihnen seinen eigenen Schlüssel erstellen. Anschließend listen Sie beim Verschlüsseln alle ihre Schlüssel auf (z. B. verwenden Sie mehrere --recipientOptionen).
- Wie funktioniert die Verschlüsselung mit Alice und die Entschlüsselung mit Alice/Bob?
Wenn Sie eine zweite Benutzer-ID hinzufügen, handelt es sich im wahrsten Sinne des Wortes immer noch um denselben RSA-Schlüssel, Sie haben lediglich die Beschriftung geändert. Benutzer-IDs dienen nicht der Zugriffskontrolle.
- Haben E-Mail/Benutzer-ID Auswirkungen auf den öffentlichen und privaten Schlüssel?
- Kann man die Benutzer-ID aus dem öffentlichen Schlüssel extrahieren? Wenn ja, wie funktioniert das?
- Wird ein bestimmter Teil jedes Schlüssels für die Verschlüsselung/Entschlüsselung verwendet und bleiben andere Teile für die Benutzer-ID und E-Mails übrig?
Wenn man bei PGP von "öffentlichen Schlüsseln" und "privaten Schlüsseln" spricht, dannnichtnormalerweise nur die Rohdaten des öffentlichen Schlüssels (also nur die RSA-Parameter), wie es in einigen anderen Systemen der Fall ist. Stattdessen erhalten Sie tatsächlich gpg --exportdie OpenPGPSchlüsselblockoderZertifikatenthält die öffentlichen Schlüssel zusammen mit verschiedenen Metadaten (Benutzer-IDs, Signaturen usw.).
Wenn Sie also eine Benutzer-ID hinzufügen, ändert dies die tatsächlichen Schlüsselparameter nicht wirklich – sie wird als Metadatenpaket neben dem Public-Key-Paket hinzugefügt.
Und wenn Leute ihre „öffentlichen PGP-Schlüssel“ teilen, teilen sie das ganze Bündel aus Schlüssel- und Metadatenpaketen als eine Einheit. Insgesamt ist die ganze Idee sehr ähnlich zu X.509-Zertifikaten, die neben dem Schlüssel selbst ein „Betreff“-Feld haben.
Sie können Tools wie pgpdumpoder verwenden gpg --list-packets, um die exportierten Daten im Textformat anzuzeigen.