Sincronize GnuPG 1.4 e GnuPG 2.1 chaveiros

Navegue suas respostas
3

Enquanto importava minhas chaves para o GnuPG em um novo sistema, considerei o seguinte:

Pergunta

  1. É possível sincronizar os chaveiros gpg e gpg2 (gpg2.1)?
  2. É sensato fazer isso?

Considerando

Eu encontrei esta resposta para "Are GnuPG 1 e GnuPG 2 compatíveis entre si? ", afirma o seguinte:

An important change came with GnuPG 2.1, which combines the formerly separated public and private keyrings (pubring.gpg vs. secring.gpg) into the public keyring. This has been implemented in a manner keeping things compatible, so you can still use GnuPG 1 when GnuPG 2.1 integrated the private keyring, but changes to the private keys will not show up for the respective other implementation. From the changelog:
[...] allows co-existence of older GnuPG versions with GnuPG 2.1. However, any change to the private keys using the new gpg will not show up when using pre-2.1 versions of GnuPG and vice versa.

A sincronização no nível do arquivo não é uma opção, também parece não haver um mecanismo incorporado para sincronizar as cadeias.

Estou seguro apenas exportar todas as chaves pub e sec do gpg e importá-las via gpg2 (cronjob etc.) e vice-versa, ou isso poderia me acabar com consequências desconsideradas?

Solução

Eu não automatizei a sincronização de chaves, mas transferi todas as chaves do meu chaveiro gpg para as chaves gpg2 e criei um link simbólico gpg2 para gpg para ter certeza de sempre usar o gpg2. Esta parece ser uma solução melhor do que segurar todas as chaves em chaveiros diferentes. 

gpg --export | gpg2 --import
gpg --export-secret-keys | gpg2 --import
sudo mv /usr/bin/gpg /usr/bin/gpg1
sudo ln -s /usr/bin/gpg2 /usr/bin/gpg
    
por hub 09.07.2016 / 12:04

1 resposta

3

A sincronização através da exportação e importação é segura, mas esteja ciente de que o GnuPG não pode fundir subchaves secretas mas começando com o GnuPG 2.1 - então se você mudar alguma coisa com as subchaves do GnuPG 2.1, você terá que apagar a chave inteira no GnuPG 1 antes de importar. O contrário deve ser seguro, no entanto. Não tenho certeza se você precisa exportar / importar a confiança do proprietário para esse processo de sincronização.

Para aproveitar o novo recurso do GnuPG 2.1 (por exemplo, chaves ECC, ...), eu prefiro tentar não para usar o GnuPG 1, e link simbólico gpg2 to gpg em vez disso. Geralmente eles devem ser compatíveis, a menos que outros aplicativos conectem o GnuPG de uma maneira que não deveriam. Se você tiver algum problema, voltar seria fácil (ou simplesmente mantenha gpg como gpg1 para manter o GnuPG 1, mas mude o padrão para GnuPG 2.x).

    
por 09.07.2016 / 12:37

Tags

Liste e instale uma versão uníssono mais antiga através do OS X brew Transmitir errorlevel de um lote filho para pai