如果我丢失了我的 GPG 私钥,每个人是否仍然能够验证我的 Git 提交的签名?
If I lost my GPG private key, would everybody be still able to verify my Git commits' signature?
我的 GPG 私钥永不过期。我知道当我的硬盘驱动器崩溃时我最终会丢失它,我会生成一个新的。
但我想在很多地方备份我的 GPG public 密钥。因此,如果有一天我丢失了我的 GPG 私钥,我的 Git 签名是否仍然可以永远验证?
"cryptography" 和“永远”这两个词不能放在一起。今天的 GPG 签名中使用的加密最终不会足够强大,无法验证任何东西。(算法中的缺陷将被利用,或者技术会发生变化,因此逆转过程不再是计算上的障碍,否则会发生其他事情。)
但在你的问题的意图范围内,丢失你的私钥不会成为现有签名变得无法验证的原因。 (除非 "lose" 你的意思是“离开它不再是秘密的地方”。)验证签名不涉及私钥——如果涉及,没有人能做到,因为私钥是私有的。或者换句话说,如果我使用你的 public 密钥来验证你在某些作品上的签名,我没有办法也没有理由知道或关心你在哪里(或是否)有私钥的副本。
这将意味着您不能再使用该密钥签署任何新内容,并且您的“呃,我将制作一个新密钥对”的解决方案对于想要验证您的任何人来说都是一件令人讨厌的事作者身份(因为现在他们必须有两个 public 密钥并且能够将正确的密钥应用到正确的工作中)。所以也许当你备份东西时,也以安全的方式备份私钥.
我的 GPG 私钥永不过期。我知道当我的硬盘驱动器崩溃时我最终会丢失它,我会生成一个新的。
但我想在很多地方备份我的 GPG public 密钥。因此,如果有一天我丢失了我的 GPG 私钥,我的 Git 签名是否仍然可以永远验证?
"cryptography" 和“永远”这两个词不能放在一起。今天的 GPG 签名中使用的加密最终不会足够强大,无法验证任何东西。(算法中的缺陷将被利用,或者技术会发生变化,因此逆转过程不再是计算上的障碍,否则会发生其他事情。)
但在你的问题的意图范围内,丢失你的私钥不会成为现有签名变得无法验证的原因。 (除非 "lose" 你的意思是“离开它不再是秘密的地方”。)验证签名不涉及私钥——如果涉及,没有人能做到,因为私钥是私有的。或者换句话说,如果我使用你的 public 密钥来验证你在某些作品上的签名,我没有办法也没有理由知道或关心你在哪里(或是否)有私钥的副本。
这将意味着您不能再使用该密钥签署任何新内容,并且您的“呃,我将制作一个新密钥对”的解决方案对于想要验证您的任何人来说都是一件令人讨厌的事作者身份(因为现在他们必须有两个 public 密钥并且能够将正确的密钥应用到正确的工作中)。所以也许当你备份东西时,也以安全的方式备份私钥.