情况是这样的。我们正在与另一家公司合作,作为某些文件分发处理的一部分,我们必须在发送某些文件之前对其进行加密。
该公司派我们他们的我们一直使用的公钥,通过 GPG 加密文件。
最近他们向我们抱怨说,每次尝试解密文件时都需要输入密码。因此,他们更改了设置,删除了密码要求,并向我们发送了另一个公钥
问题是这个“新”公钥看起来与旧公钥完全相同。以下是我的测试:-
- 两个 .asc 文件 -> 相同
- .asc 文件的 MD5 哈希值 -> 相同
- 将密钥安装到测试密钥库中 -> GPG 拒绝安装它,因为它与已经存在的密钥相同(即“未更改:1”)
- 从密钥库中删除密钥,安装“新”密钥,记录指纹/其他详细信息,再次删除密钥
- 将“旧”密钥添加到密钥库,并记录指纹/其他详细信息
- 比较两个笔记 -> 相同
如果这个“新”公钥与旧公钥完全相同,我们肯定不需要安装它吧?我之所以问这个问题是因为,如果不需要,打电话给我们的运营团队让他们将密钥安装在 PROD 密钥库中会有点麻烦。
任何意见,将不胜感激。
答案1
公钥不会因为某人删除(或更改)私钥上的密码而改变。我认为没有理由您必须安装这个“新”公钥。
如果他们抱怨他们必须始终输入密码(并且他们认为删除密码是个好主意),我会担心对方的能力。
答案2
+1 为 womble;将其写为答案以避免字符限制。
解密密钥时,公钥不必更改。“删除密钥的密码”只是意味着密钥将永久处于解密状态并写入磁盘,而密钥本身通常使用给定的密码进行对称加密,以确保获得密钥文件访问权限的攻击者在不知道密码的情况下无法访问密钥。
但是,他们没有理由向您透露这种无能(尽管您应该感激这些信息,这样您就知道不要信任对方的安全)。您应该建议您的合作者仅保存所需加密文件的明文版本,而不是让密钥处于不受保护的状态。如果密钥落入坏人之手,密钥对将永远失效,并且使用该公钥加密的所有内容都可以被拥有密钥的任何人访问。如果任何重要的东西都曾使用该密钥对加密过,这显然非常危险。请告诉您的合作伙伴重新应用密码并将文件保存为明文,而不是直接暴露密钥。