x509とOpenPGPの両方の鍵ペアを作成するのは一般的ですか?
署名および暗号化された「もの」の使用を増やすことを検討しています-LibreOfficeドキュメント、オフレコチャット、PDF、電子メールなど。一部はx509形式の証明書のみをサポートし、その他はサポートのみであることがわかりましたOpenPGP形式の証明書。
また、OpenPGPがCAに依存していないこと、およびCAモデルが政府の干渉に対して脆弱であることも嫌いです。ただし、CAモデルは、特定のユースケースで便利です(たとえば、署名されたPDFを、暗号化について何も知らない古いワイズドアカデミックに電子メールで送信します)。
同じキーペアから フランケンシュタインx509/OpenPGPハイブリッド を作成することを考えましたが、問題の価値があるかどうかはわかりません。
だから私は質問だと思います:2つのキーペアを所有および維持することをお勧めします-1つはx.509形式、もう1つはOpenPGPですか?
すべての実用的な目的で、X.509証明書とOpenPGPキーペアは別々の世界に存在します。 X.509証明書を使用する人/システムと相互運用するには、X.509証明書が必要です。 OpenPGPを使用するユーザーと安全な電子メールを交換するには、OpenPGPキーペアが必要です。両方を実行したい場合は、両方が必要です。
重要なアイデアの1つは、[このようなキーは意味がありませんです。ある意味で。 X.509証明書、または署名されたOpenPGP公開鍵(同じ概念)は、公開鍵をidentityにバインドします。 your IDとは何ですか?よく見ると、いくつかあることに気づくでしょう。法的には、あなたはある国の市民(または主体)であり、中央政府の独占の1つは、その名目上の範囲にある人々のアイデンティティを定義することです。しかし、X.509証明書を発行するのはその政府ではなく、OpenPGPキーに署名することは言うまでもありません。さらに、私はあなたの公式のIDカード/パスポート/運転免許証/名前が "scuzzy-delta"であるものには何も疑っています。
実際、OpenPGPの Web of Trust を使用すると、IDはcommunity-drivenとなります。それはコミュニティに依存し、あなたは完全にそのようなアイデンティティをいくつか持つことができます(多くの人々は「個人のメールアドレス」と「ビジネスのメールアドレス」を持っています)。 X.509証明書の場合、IDはprocedure-drivenです。これは、CAが「IDを確認する」プロセスによって暗黙的に検証されるものです(一部のCA、一部の証明書では、メールアドレスを管理すること)。
これらの条件下では、X.509証明書やOpenPGPキーペアを「一般的に」維持することはほとんど意味がありません。キー目的が必要です。たとえば、OpenPGPキーペアが必要な場合があります暗号化された電子メールを「scuzy-delta」のペルソナと交換できるようにするために。または、古いワイズドアカデミック(または、お母さん)に提示することに同意する名前とアドレスが記載されたX.509証明書。または、VPNとの接続を認証することを目的とする証明書。