Зашифруйте та підпишіть певним секретним ключем

У мене в ключі GnuPG встановлений ключ смарт-картки OpenPGP (YubiKey NEO), а також локальний секретний ключ.

Я хотів би зашифрувати і підписати файл за допомогою ключа моєї картки, а не ключа в моєму брелоку. Як я можу вказати, з яким ключем я хочу підписатись?

Якщо ідентифікатор секретного ключа моєї файлової системи є, DEADBEEFа мій ключ смарт-картки - DEADBEE5як мені підписати цей ключ?

gpg

— Нафтулі Кей
джерело

Відповіді:

Вам слід вказати --default-key:

gpg -s --default-key DEADBEE5 input > output

а потім перевірити за допомогою

gpg -d < output | head -1

Зі gpg manсторінки ( --signрозділу):

Ключ, який буде використовуватися для підписання, вибирається за замовчуванням або може бути встановлений за допомогою параметрів --local-user та --default-key.

— Антон
джерело

gpg: conflicting commandsколи я намагаюся зашифрувати і підписати.

— Naftuli Kay

@NaftuliTzviKay Вибачте - підпис-ключ призначений для підписання інших клавіш певним ключем. Відповідь я оновив (і цього разу попередньо перевірив).

— Антон

--default-*мало має сенсу в командному рядку. Ці параметри призначені для конфігураційного файлу.

— Хоуке Лагінг

Різниця між --local-userі --default-keyполягає в тому, що --local-userприведе помилка, якщо ви вкажете неіснуючий ключ. З --default-key, він буде ігнорувати неіснуючий ключ і використовувати перший ключ у брелоку.

— wisbucky

Ключ підпису вибирається -u/ --local-user:

gpg --local-user 0xDEADBEE5 --sign file

Цю опцію можна надати кілька разів, щоб об'єднати підписи декількох клавіш:

gpg --local-user 0xDEADBEE5 --local-user 0x12345678 --sign file

— Hauke Laging
джерело

За словами чоловічої сторінки, користування --local-userтим самим, як --default-userі в моїй відповіді

— Антон

@Anthon Це призводить до того ж результату. Це не означає, що --default-*слід рекомендувати для цього використання. Я був у розсилці GnuPG роками. Я ніколи раніше такого подібного не бачив.

— Hauke Laging

Ну да, схоже , питання прийшов якось на GNUPG користувачів , і що ви , де той , хто дав відповідь з вашим читанням сторінки людини ;-). Для мене вказівка параметра з -keyйого ім'ям набагато доречніше, коли я хочу використовувати певний ключ, ніж вказувати щось з -userYMMV.

— Антон

Я думаю, що @Anthon мав --default-keyна увазі у своєму коментарі вище. У зв'язку з цим, одна відмінність між моїм досвідом --local-userі --default-keyв моєму досвіді полягає в тому, що перший виходить з ладу, якщо відповідного ключа немає, а другий повернеться до інших клавіш. З цієї причини я б дуже обережно ставив --default-keyсценарії.

— Джек О'Коннор

Я протестував і підтвердив коментар @ JackO'Connor з gpg 2.2.4. Чоловік за --default-keyсловами

If there is no secret key available for any of the specified values, GnuPG  will not emit an error message but continue as if this option wasn't given.

— Wisbucky