GnuPG (gpg4win) — чем отличается Key-ID от публичного ключа и сертификата (*.asc)?

Question

[nekapital]

Доброго времени! Установил gpg4win - всё работает, удалось подписать картинку эл. подписью и потом удостовериться в ее же подлинности. Прочитал FAQ по GnuPG, научился создавать сертификат отзыва и экспортировать сертификат, могу через консоль посмотреть отрытый ключ и сделать резервную копию закрытого ключа, но при всем при этом Я ПОНИМАЮ ЧТО НИЧЕГО УЖЕ НЕ ПОНИМАЮ :(

Теорию курил, вроде основы ассиметричного шифрования понял...

...но я в упор не понимаю:

1. Что такое этот самый "сертификат" который я могу экспортировать используя Kleopatra в файл с расширением .asc и является ли он секретным?

2. Что такое Key-ID (восьмизначный хэш) который тоже отображается в Kleopatra - надо ли его тоже прятать? Или наоборот стоит вывесить на сайте?

3. Public-key ко всему этому каким боком относится и как он хотя бы выглядит? Это то же самое, что сертификат? С его помощью могут зашифровать для меня данные, как я понял, но я не понял кто из них Public-key.

Помогите пожалуйста разобраться кто из них кто.

Спасибо.

Answer 1

[jcmvbkbc]

Что такое Key-ID

key-ID -- это хвост фингерпринта ключа. Фингерпринт -- это уникальный идентификатор ключа, по нему можно найти ключ на публичном сервере или идентифицировать его в командах gpg. Именно его проверяют на key-signing party. 8 цифр по нынешним меркам считается мало, лучше использовать 16.
Например:

gpg --fingerprint --list-keys F83FA044
pub   4096R/F83FA044 2012-05-28
      Key fingerprint = 2B67 854B 98E5 327D CDEB  17D8 51F9 CC91 F83F A044
uid                  Max Filippov <filippov@cadence.com>
uid                  Max Filippov <max.filippov@cogentembedded.com>
uid                  Max Filippov <jcmvbkbc@gmail.com>
sub   4096R/161A72EA 2012-05-28

F83FA044 -- это хвост

Key fingerprint = 2B67 854B 98E5 327D CDEB  17D8 51F9 CC91 F83F A044

Что такое этот самый "сертификат" который я могу экспортировать используя Kleopatra в файл с расширением .asc и является ли он секретным?

Я не знаю, что можно экспортировать из Kleopatra, но .asc -- это просто ascii-текст. Любой ключ или набор ключей можно экспортировать в ascii, достаточно добавить -a к команде экспорта.

Public-key ко всему этому каким боком относится и как он хотя бы выглядит?

Выглядит как-то так: gpg -a --export <key-id>
Имея его можно зашифровать сообщение для владельца соответствующего секретного ключа.
Его можно заслать на сервер ключей или передать в текстовом виде отправителю сообщения. Отправитель может импортировать его с ключевого сервера по key-ID или из текста.

Comments

[nekapital]

с Key-ID и Public-key - понятно - спасибо!

осталось понять что такое сертификат, зачем он нужен, зачем его экспортировать и в каких случаях применять :)

посмотрел я внутрь этого сертификата полученного путем "экспорта сертификата" (имя файла у него вида <фингерпринт>.asc)

внутри там простой текст, по содержанию идентичный выводу от вот этого:

gpg -a --export key-id

выходит таки что сертификат и публичный ключ - одно и то же? а зачем тогда разные названия? как-то нелогично получается - мб я чего-то не понимаю...

[nekapital]

Вот еще из официального FAQ по GnuPG:

7.3 Что такое ключ?
Слово «ключ», к сожалению, неоднозначно. Оно может указывать либо на математические структуры, обеспечивающие шифрование, расшифровку, подпись и проверку, либо на крупные массивы данных, которые содержат эти структуры, а также информацию о связанном с ключом человеке, дополнительные подключи и так далее.

В случае массивов данных предпочтительно называть их «сертификатами», чтобы слово «ключ» можно было однозначно связать только с математическими структурами. Как ни жаль, такое употребление встречается довольно-таки редко.

7.4 Что такое сертификат?
Сертификат — крупная структура данных, которая содержит один или более ключей и, возможно, информацию о том, кто создал эту структуру, кто может ее отозвать, кто ее подписал и так далее.

7.5 Что такое сервер ключей?
Сервер ключей — служба, публикующая сертификаты с открытыми ключами и обеспечивающая их поиск. На сервер ключей можно отправить свой сертификат, чтобы другие пользователи могли его найти. Есть распределенные сети серверов ключей, которые обмениваются ключами, так что ключ можно отправлять один раз на любой из серверов.

Одна из популярных сетей серверов — sks-keyservers.net. SKS расшифровывается как «Synchronising Key Server (синхронизирующий сервер ключей)». Пользование этой сетью включается с помощью параметра --keyserver pool.sks-keyservers.net.

Я не понимаю...

Вроде текст как раз по теме вопроса - но для меня это не ответ - не складывается мозаика.

[jcmvbkbc]

выходит таки что сертификат и публичный ключ - одно и то же? а зачем тогда разные названия? как-то нелогично получается - мб я чего-то не понимаю...

В man gpg слово "сертификат" применяется в двух контекстах: сертификат отзыва ключа и сертификат ключевого сервера. Сами ключи в англоязычной документации gpg сертификатами не называют.