Synchronisieren Sie die Schlüsselketten von GnuPG 1.4 und GnuPG 2.1

1811
hub

Beim Importieren meiner Schlüssel in GnuPG auf einem neuen System habe ich Folgendes berücksichtigt:

Frage

  1. Kann man gpg und gpg2 (gpg2.1) Schlüsselanhänger synchronisieren?
  2. Ist es weise, dies zu tun?

In Anbetracht

Ich fand diese Antwort auf "Sind GnuPG 1 und GnuPG 2 miteinander kompatibel?" gibt es folgendes an:

Eine wichtige Änderung erfolgte mit GnuPG 2.1, das die zuvor getrennten öffentlichen und privaten Schlüsselringe (pubring.gpg vs. secring.gpg) in den öffentlichen Schlüsselring integriert. Dies wurde so implementiert, dass die Kompatibilität gewährleistet ist, sodass Sie GnuPG 1 weiterhin verwenden können, wenn GnuPG 2.1 den privaten Schlüsselbund integriert hat. Änderungen an den privaten Schlüsseln werden jedoch für die jeweils andere Implementierung nicht angezeigt. Aus dem Änderungsprotokoll:
[...] ermöglicht die Koexistenz älterer GnuPG-Versionen mit GnuPG 2.1. Änderungen an den privaten Schlüsseln mit dem neuen gpg werden jedoch nicht angezeigt, wenn Sie GnuPG-Versionen vor 2.1 verwenden und umgekehrt.

Die Synchronisierung auf Dateiebene ist keine Option, es scheint auch kein Mechanismus zum Synchronisieren der Ketten zu existieren.

Kann ich einfach alle pub- und sec-Schlüssel aus gpg exportieren und sie über gpg2 (Cronjob usw.) importieren und umgekehrt, oder könnte dies mich mit unberücksichtigten Folgen beenden?

Lösung

Ich habe die Schlüsselsynchronisierung nicht automatisiert, sondern alle Schlüssel von meinem gpg-Schlüsselbund zu den gpg2-Schlüsselbändern und von symbolisch gpg2 zu gpg übertragen, um sicherzustellen, dass ich immer gpg2 verwende. Dies scheint eine bessere Lösung zu sein, als alle Schlüssel in verschiedenen Schlüsselringen zu halten.

gpg --export | gpg2 --import gpg --export-secret-keys | gpg2 --import sudo mv /usr/bin/gpg /usr/bin/gpg1 sudo ln -s /usr/bin/gpg2 /usr/bin/gpg
3

1 Antwort auf die Frage

3
Jens Erat

Die Synchronisierung durch Exportieren und Importieren ist sicher. Beachten Sie, dass GnuPG keine geheimen Unterschlüssel zusammenführen kann, sondern mit GnuPG 2.1 beginnt. Wenn Sie also Änderungen an den Unterschlüsseln in GnuPG 2.1 vornehmen, müssen Sie vor dem Importieren den gesamten Schlüssel in GnuPG 1 löschen. Der umgekehrte Weg sollte jedoch sicher sein. Ich bin nicht sicher, ob Sie für diesen Synchronisationsvorgang ownertrust exportieren / importieren müssen.

Um die Vorteile der neuen Funktion der GnuPG 2.1 (zB ECC - Schlüssel, ...), würde ich versuchen, eher nicht GnuPG zu verwenden 1 aber, und Symlink gpg2zu gpgstatt. Im Allgemeinen sollten sie kompatibel sein, es sei denn, andere Anwendungen verwenden GnuPG auf eine Weise, die sie nicht sollten. Wenn Sie irgendwelche Fragen haben, würde zurückgehen einfach sein (oder einfach zu halten gpgals gpg11 GnuPG zu halten, aber die Standardeinstellung zu GnuPG 2.x ändern).

Verwandte Probleme