我是GPG签名的新手,错综复杂,正如我的other, overly-broad question所示。因此,让我试着将目前的疑虑提炼成一个简单的问题。
让我们说公司Acme想要在Maven Central上签署一些文物以便发布。通过各种来源的大量研究,我收集了以下最佳实践:
id@acme.example.com。不幸的是Maven tools do not work with signing using a subkey。这意味着Maven正在迫使Acme改变他们管理中心身份的方式,id@acme.example.com! Acme无法再遵循最佳实践。最大的问题是,如果Acme允许开发团队访问主键以签署Maven工件,那么Acme可能会损害其核心身份(例如,用于签署财务报表)。
因此,为了模拟子键,Acme可以为不同的电子邮件地址创建密钥,例如software@acme.example.com,并将该主键提供给开发团队以签署Maven工件。但是当在公钥服务器上列出密钥时,搜索" Acme"会像这样出现:
Acme <id@acme.example.com>
Acme <software@acme.example.com>
对我而言,这似乎令人困惑。因此,我可以使用评论字段&#34;软件&#34;表示&#34;这是我们用来签署软件工件的关键,因为Maven非常密集,以至于我们不能让我们使用我们主要身份的子键来实现这个目的&#34;。因此,两个Acme密钥将在公钥服务器上列出如下:
Acme <id@acme.example.com>
Acme (software) <id@acme.example.com>
因为有几位作家非常坚决认为评论字段的大部分用途都不合法,所以我要问:这是&#34;关键用途&#34;指定合法使用GPG用户ID的评论?或者使用单独的id@acme.example.com和software@acme.example.com密钥更合适?或者只是使用一个主id@acme.example.com密钥,让开发团队可以访问它?
答案 0 :(得分:1)
OpenPGP用户ID中的注释通常不是很糟糕。它们意味着进一步指定用户ID,这是通过使用名称字符串和邮件地址无法实现的。限制签名密钥可能就是这样一个用例。
大多数人使用评论来反对 更多是关于无用的评论,这些评论经常被添加,因为几个OpenPGP实现和用户前端似乎强制执行一个(仅仅因为糟糕的用户界面设计)。这导致明显多余的评论,例如none,John Doe's key,My first PGP key等。重复公司名称似乎也不需要,因为John Doe (ACME inc.) <john@acme.example.org&gt;`等用户ID表示。
ACME Inc. (software signing key) <software@acme.example.com> 等用户ID会添加有关用户ID /密钥的相关信息。人们很可能从关键的使用标志中得到这个,但并不是每个人都知道它们,并且它们在大多数OpenPGP前端中都很好地隐藏起来。如果您另外将密钥使用标志限制为同时对主键进行签名(以及无法禁用的认证),则可获得奖励积分。