我正在尝试转移我的私人 gpg 密钥,但遇到了一些奇怪的建议。一方面,我被告知要做gpg --export和gpg --export-secret-keys,另一方面,我被建议直接cp ~/.gnupg放到 U 盘上,然后放到新系统上。
我应该做什么?这样做是否本身就存在一些安全隐患?这些系统唯一的文件是否应该放在 .gnupg 中不是被调动?
答案1
--export为您提供一种兼容所有版本(甚至兼容 GnuPG 以外的其他 OpenPGP 产品)的格式。复制目录会为您提供特定于软件版本的数据。
例如,如果您从具有最新 GnuPG 2.2.x 的发行版切换到具有更早版本甚至 2.1.x 的发行版,它可能无法读取新的数据格式(private-keys-v1 和 pubring.kbx 的格式都是 GnuPG 内部的,并且会随时间而变化)。当然,您也不能直接将这些文件导入 Thunderbird(基于 RNP)之类的程序,因为它需要一个标准的“导出”文件。
另一方面,有些有用的信息不会被导出,例如本地签名 ( --lsign) 或信任级别,这两者都只有在指定必要的附加选项时才能导出 - 以及 GnuPG 也能处理的非 PGP 内容,例如 SSH 密钥或 S/MIME 证书。因此,如果新系统有类似的 GnuPG 版本,最好传输所有文件。
换句话说,导出以备将来备份,复制以在相同系统之间直接传输。