0

我的 GPG 私钥永不过期。我知道当我的硬盘崩溃时我最终会丢失它,我会生成一个新的。

但我想在很多地方备份我的 GPG公钥。那么如果有一天我丢失了我的 GPG 私钥,我的 Git 签名是否仍然可以永远验证?

4

1 回答 1

0

“密码学”和“永远”这两个词不能在一起。今天 GPG 签名中使用的加密最终将不足以验证任何东西。(算法中的缺陷将被利用,或者技术将发生变化,以便逆转过程不再是计算上的禁止,否则会发生其他事情。)

但就您的问题而言,丢失您的私钥不会成为现有签名变得无法验证的原因。(除非“丢失”你的意思是“离开它不再是秘密的地方”。)验证签名不涉及私钥 - 如果这样做,没有人可以这样做,因为私钥是私人的。或者说不同的是,如果我使用您的公钥来验证您在某些工作上的签名,我没有办法或理由知道或关心您在哪里(或是否)拥有私钥的副本。

这将意味着您不能再使用该密钥签署任何新的东西,并且您的“呃,我将制作一个新的密钥对”的解决方案对于任何想要验证您的作者身份的人来说都是令人讨厌的(因为现在他们必须有两个公钥,并且能够将正确的一个应用于正确的工作)。所以也许在你备份的时候,也要以安全的方式备份私钥。

于 2019-01-17T00:44:17.493 回答