我觉得这个问题应该得到充分的讨论,但是我发现没有任何东西能够以我理解的方式向我解释这个问题。
可能是(感觉像是)我误解了一些非常基本的东西,因此无法理解我得到的信息,所以在这种情况下:请解释我的错误。
我有一个用于我的主要电子邮件地址的 OpenPGP 密钥。它工作正常,我可以加密、签名和加密消息。
现在,我还有一堆其他地址(一个用于商业目的,一个来自政党等),我也想使用密钥。据我所知,我可以为一个地址使用一个密钥,仅此而已。我可以(以某种方式?)为以某种方式在内部使用主密钥的其他地址添加子密钥。
因此,当我从第二个帐户发送邮件并签名时,我不希望它显示我的主要电子邮件,而是我的第二个电子邮件。目标是我的业务联系人收到正确签名的邮件,但显然看不到我的个人主要电子邮件。如果他们需要在密钥服务器上查找密钥才能看到我的个人地址,那就没问题,我只是不想让人感到困惑(收到来自 af@business 的电子邮件。但签名来自 af@personal。)
我是否需要为此拥有多个主密钥,或者我可以使用一个主密钥并向其添加附有自己电子邮件地址的子密钥?
答案1
OpenPGP 有一个主键来将“一切”粘合在一起,即子密钥和用户 ID,这是两个完全不同的概念。除了这个答案之外,您可能还想查看一个相关但不重复的问题,我回答过信息安全 Stack Exchange 上的“我应该制作多少个 GPG 密钥”,我在其中讨论了支持和反对拥有多个主键的理由。
子密钥用于限制私钥可能被泄露的情况;它们与邮件地址完全无关(尽管在某些情况下,这可能是有利的)。虽然主密钥是管理所有子密钥和用户 ID(以及其他密钥上的认证/签名)的实体,但请将子密钥视为日常工作中使用的实体(例如对消息和文档进行签名和加密)。
每个主密钥还可以有多个用户 ID。因此,一个主密钥可以附加不同的邮件地址,例如您的个人地址、您的工作联系人、您在政党的地址。将主密钥视为信任网络中的身份;如果您想拆分这些角色,则必须使用不同的密钥对。这样做的一个例子可能是立法强制您在离开公司时将“业务”私钥移交给您的雇主(您不想交出您的“私人”私钥),或者当您拥有假名 OpenPGP 密钥(您不想将其与您的真实身份联系起来)时。
因此,当我从我的第二个帐户发送邮件并签名时,我不希望它显示我的主要电子邮件,而是我的第二个电子邮件。 [...] 我是否需要为此拥有多个主密钥,或者我可以使用一个主密钥并向其添加附有自己电子邮件地址的子密钥?
由于技术限制,您无法强制显示给定的用户 ID,也无法将用户 ID 绑定到子键。如果这很重要,请创建多个主键。
答案2
您要做的事情与子键无关,而是与 uid 有关。键上的所有 uid 始终可见。不过,任何合理的邮件软件都会找到要显示的正确 uid。
如果您绝对不想让您的私人地址在签名的商业邮件中可见,您唯一的选择就是使用第二个密钥。但如果您不介意它被看到,除了它可能引起的一些混乱之外,那么可能只需添加一个 uid 并依靠实际使用 GnuPG 的人来找出它列出其他地址的原因 ;)。