Como alterar a chave padrão para um determinado ID de usuário no GnuPG?

2

Eu tenho duas chaves para meu ID de usuário principal: um antigo e um mais longo que eu gerenciei mais recentemente. Eu não uso mais o antigo. Eu defino a chave padrão para a mais nova usando a opção default-key em ~/.gnupg/gpg.conf .

No entanto, algumas ferramentas substituem a configuração padrão, por exemplo, chamando git tag -s , que chama gpg -bsau DEFAULT_COMMITTER_EMAIL_ADDRESS sob o capô. (Isso é sensato, porque meu endereço de e-mail de committer padrão pode não corresponder ao meu ID de usuário principal para gpg.) Isso parece fazer com que o GnuPG use a primeira chave encontrada que corresponda ao ID do usuário, normalmente o mais antigo.

Eu posso consertar isso na minha configuração do git, definindo uma chave padrão lá também, mas eu prefiro não ter essa configuração duplicada (porque no meu caso, todas as identidades são as mesmas).

Consegui contornar isso removendo as chaves mais antigas do meu chaveiro, depois as adicionando novamente (o que parece adicioná-las no final). Então, minha mais nova (preferida, padrão) chave sai primeiro em gpg --list-secret-keys e, portanto, é a primeira correspondência retornada para o meu ID de usuário.

Existe alguma maneira de evitar essa solução alternativa (que eu teria que refazer toda vez que eu gerasse uma nova chave)?

    
por Reuben Thomas 06.10.2017 / 23:12

1 resposta

0

Não existe essa opção de configuração para o GnuPG. Definindo uma chave distinta ( por impressão digital ou pelo menos ID de chave longa devido a contatos de colisão ) para usar é uma coisa razoável para fazer de qualquer maneira: usuários maliciosos podem enviar chaves privadas para seus IDs de usuário que você gpg --import espera chave pública e pego sem ser notado.

Então, lidar com um número maior de chaves primárias do OpenPGP para o mesmo ID de usuário e trocá-las regularmente pode não ser uma boa prática (considere a discussão em " Quantas chaves OpenPGP devo fazer? "). Isso não apenas confunde os outros ("Qual dessas chaves usar?"), Mas também rompe com todas as certificações e sua integração na rede de confiança do OpenPGP cada vez que você rola sua chave primária. Considere se ficar com apenas uma subchave (alta segurança, talvez até armazenada offline) e rolling pode ser adaptado ao seu caso de uso - isso se assemelha ao que pode ser chamado de melhores práticas em configurações de chaves OpenPGP (embora haja espaço para discussão e variações, é claro).

    
por 07.10.2017 / 09:47

Tags