Mavenの成果物は、ユーザーIDにGnuPGコメントを正当に使用していると署名していますか？

Question

私はother, overly-broad questionが示すように、私はGPG署名に新しく、複雑さはめまいになっています。だから私の現在の疑念を簡単な質問にしてみましょう。

AcmeがMaven Centralで公開するアーティファクトに署名したいとします。さまざまな情報源からの多くの調査から、次のベストプラクティスが収集されます。

• Acmeには1つのプライマリキーが必要です。 id@acme.example.com
• Acmeは、Maven成果物に署名するなど、一般的な日々の使用のためにサブキーを生成する必要があります。
• GPGユーザーIDの「コメント」部分にはhardly any legitimate usesがあり、このフィールドは空白のままにしてください。

残念ながらMaven tools do not work with signing using a subkey。つまり、MavenはAcmeに彼らの中心的なアイデンティティの管理方法を変更させることになります。id@acme.example.com！ Acmeはベストプラクティスに従うことができません。最も問題があるのは、Acmeが、Mavenの成果物に署名するために開発チームに主キーへのアクセス権を与える場合、Acmeはその中心的なアイデンティティー（例えば、財務諸表に署名するための）を危うくすることです。

サブネットをシミュレートするために、Acmeはsoftware@acme.example.comなどの別の電子メールアドレスのキーを作成し、Mavenアーティファクトに署名するために開発チームにプライマリキーを渡すことができます。公開鍵サーバー上のキーを一覧表示する場合しかし、その後、「アクメ」を検索すると、次のように現れます：私に

Acme <id@acme.example.com> 
Acme <software@acme.example.com> 

これは混乱を招くようです。このため、コメントフィールド "software"を使用して、 "これはMavenが非常に密集しているためソフトウェアアーチファクトに署名するために使用しているキーです。このためにメインアイデンティティのサブキーを使用できません"ということを示すことができます。したがって、2つのアクメ鍵は、公開鍵サーバにそのように記載されていることになります。いくつかの作家は、コメント欄のほとんどの使用が正当でないことを非常に頑固なので

Acme <id@acme.example.com> 
Acme (software) <id@acme.example.com> 

、私が尋ねる：「は、キーのこの種です-purpose "GPGユーザーIDのコメントの正当な使用を指定しますか？または別のid@acme.example.comとsoftware@acme.example.comのキーを使用する方が適切でしょうか？または、単に1つのプライマリid@acme.example.comキーを使用して、開発チームにアクセスさせることができますか？

Answer 1

OpenPGPのユーザーIDのコメントは一般的に悪くありません。これらは、ユーザーIDの詳細指定のためのものであり、名前文字列とメールアドレスを使用することでは不可能でした。制限署名鍵は、このような使用例になる可能性があります。

多くの人は、コメントを使用してに対してと主張しています。多くの場合、いくつかのOpenPGPの実装やユーザーのフロントエンドが強制されているようです。これは、明らかに、none、John Doe's key、My first PGP keyのような余計なコメントとなります。 John Doe (ACME inc.) <john@acme.example.org>のようなユーザーIDが示すように、あなたの会社名を繰り返すことも不要です。

ACME Inc. (software signing key) <software@acme.example.com>のようなユーザIDは、ユーザID /キーの関連情報を追加します。主要な使用フラグからこれを派生させるかもしれませんが、誰もがそれらについて知っているわけではなく、ほとんどのOpenPGPフロントエンドでは隠されています。プライマリキーのキー使用フラグを同時に署名（および証明書（無効にすることはできません））に制限すると、ボーナスポイントになります。