我是使用 GnuPG 的新手,并试图了解如何最好地使用它。我已经阅读了针对非技术人员的 GPG/PGP 的简短易懂的解释?,但大多数指南都是从单机角度解释 PGP 的。
我想在三种计算设备上使用 GnuPG:Linux PC、Linux 笔记本电脑和 Android 手机。
基本用例是加密/解密由 IMAP 服务管理的电子邮件,因此所有设备都需要相同的私钥进行解密。
我想我的选择是:
只需将我所有的密钥复制到每台设备上的密钥环,并主要依靠私钥密码进行保护。
创建一个主密钥(使用 --gen-key)来代表我的身份,然后创建一个单独的一次性密钥(再次使用 --gen-key)用于加密/解密电子邮件并使用主密钥签名。前者只驻留在我的电脑上,后者分布在每个设备上。只要我的移动设备没有受到损害,一次性密钥就一直有效。
我可能过于偏执,让事情变得比实际情况更复杂,但请幽默我。我相信不要把所有的鸡蛋放在一个篮子里。
主密钥应该是我的数字身份。将花费大量精力围绕该身份建立信任,而我宁愿忍受偏执带来的不便,也不愿因疏忽而丢失我的密钥,不得不围绕新的主密钥建立信任(也许这不像我那么糟糕)想,但我对此很陌生)。
与 PC 相比,我更容易丢失笔记本电脑或手机。如果丢失 == 妥协,那么我宁愿丢失一个一次性密钥对(我可以撤销)而不是我的主密钥对。我总是可以将我的主钥匙的信任赋予新的一次性钥匙。
抱歉问了这么长的问题。:-)
TL; 博士
密码是否足以保护我在多个设备上存储我的主私钥?
我的选项#2 计划可行吗?我做错了什么还是可以改进?
如果选项#2 是个坏主意,那么在多个设备上为单个用户使用 GnuPG 时的最佳实践是什么?