PGP Tool

Учиться · 6 мин. чтения

Знакомство с инструментом "Создать ключи" — твоя первая пара ключей, шаг за шагом

Ты открыл инструмент "Создать ключи" и видишь четыре поля. Ниже объясняется, что делает каждое и что выбрать, если ты сомневаешься.

Создание PGP-пары ключей — одноразовое решение, с которым придётся жить годами. Большинство руководств пропускают выбор и просто говорят "нажмите Создать". Это руководство объясняет, что на самом деле делает каждое поле, чтобы значения по умолчанию имели смысл, и ты мог осознанно отклониться, если нужно.

Всё ниже происходит целиком в твоём браузере. Закрытый ключ никогда не покидает твоё устройство.

Что ты создаёшь

Два файла, генерируемых вместе как пара. Открытый ключ (.asc) — это адрес, которым ты делишься: любой человек в мире может зашифровать сообщение для тебя. Закрытый ключ (.asc) — секрет, который ты хранишь: только он может расшифровать сообщения, отправленные на твой открытый ключ. Они математически связаны. Потеря закрытого ключа означает, что сообщения навсегда нечитаемы; утечка — что вся прежняя переписка раскрыта.

Поле 1 — Имя и e-mail

Эти данные встраиваются в ключ как "User ID" (UID) — человекочитаемая метка, которая путешествует вместе с открытым ключом. Выбери имя и e-mail, которые должны видеть другие, когда находят твой ключ. E-mail не обязан совпадать с тем адресом, с которого ты на самом деле отправляешь почту — UID нужны для идентификации, а не для доставки.

У одного ключа может быть несколько UID (рабочий, личный, псевдоним). Для первого ключа достаточно одного. Реальное имя + тот e-mail, который ты сильнее всего хочешь связать с ключом, — общепринятый выбор.

Поле 2 — Алгоритм

По умолчанию — Curve25519. Соглашайся. Он быстрый, современный, имеет короткие ключи и поддерживается всеми актуальными OpenPGP-клиентами. RSA-3072 и RSA-4096 по-прежнему доступны для устаревших клиентов (некоторые аппаратные токены, отдельные старые почтовые конфигурации) — выбирай RSA только если получатель или устройство явно этого требует. Если сомневаешься — значение по умолчанию верное.

Есть отдельная статья о сравнении алгоритмов; здесь предполагается, что ты принимаешь значение по умолчанию.

Поле 3 — Парольная фраза

Парольная фраза шифрует файл с твоим закрытым ключом в покое. Без неё любой, кто скопирует .asc, сможет расшифровать каждое полученное тобой сообщение. Это самый важный одиночный параметр безопасности.

Сделай её длинной. Пять-шесть несвязанных слов из словаря (так называемая "EFF-фраза") гораздо сильнее короткой строки из смешанного регистра и символов — и её легче запомнить. Генератор паролей умеет создавать такие. Избегай любого, что использовал где-то ещё — повторное использование парольных фраз — самая частая причина компрометации.

Запиши её куда-то физически в момент первой установки. Парольная фраза, которую ты не можешь вспомнить, функционально равнозначна потерянному закрытому ключу.

Поле 4 — Срок действия

Дата окончания не уничтожает ключ — она сообщает другим клиентам, что после этой даты ключу больше не следует доверять. Установка срока (обычно 1–2 года) даёт мягкий путь к ротации ключей без драматичной отзыв-сертификации. Срок можно продлить позже, если ты решишь оставить ключ дольше.

"Никогда не истекает" тоже допустимо для повседневного использования. Минус: если ты потеряешь доступ без сертификата отзыва, мир так и будет считать ключ действительным.

После нажатия кнопки Создать

Ты получишь три файла на скачивание:

  • Открытый ключ (.asc) — делись им свободно. Отправляй по почте, выкладывай на сайте, загружай на keyserver. Он нужен любому, кто хочет тебе писать.
  • Закрытый ключ (.asc) — храни тщательно. См. статью "Безопасное резервное копирование PGP-ключей". Никогда не отправляй по почте. Никогда не вставляй в недоверенные инструменты.
  • Сертификат отзыва (.asc) — храни отдельно от закрытого ключа. Если закрытый ключ когда-либо украдут или потеряют, опубликуй отзыв, чтобы мир перестал доверять открытому ключу.

Чек-лист на первую неделю

  1. Сделай хотя бы одну офлайн-резервную копию закрытого ключа (зашифрованная флешка или бумага).
  2. Храни сертификат отзыва в другом месте, нежели закрытый ключ.
  3. Проверь, что можешь расшифровать: зашифруй пробное сообщение на свой открытый ключ, затем расшифруй его закрытым.
  4. Поделись открытым ключом с одним человеком и попроси отправить тебе зашифрованное приветствие.
  5. Добавь отпечаток ключа в подпись e-mail или на сайт, чтобы другие могли убедиться, что у них правильный ключ.