私はother, overly-broad questionが示すように、私はGPG署名に新しく、複雑さはめまいになっています。だから私の現在の疑念を簡単な質問にしてみましょう。Mavenの成果物は、ユーザーIDにGnuPGコメントを正当に使用していると署名していますか?
AcmeがMaven Centralで公開するアーティファクトに署名したいとします。さまざまな情報源からの多くの調査から、次のベストプラクティスが収集されます。
- Acmeには1つのプライマリキーが必要です。
[email protected]
- Acmeは、Maven成果物に署名するなど、一般的な日々の使用のためにサブキーを生成する必要があります。
- GPGユーザーIDの「コメント」部分にはhardly any legitimate usesがあり、このフィールドは空白のままにしてください。
残念ながらMaven tools do not work with signing using a subkey。つまり、MavenはAcmeに彼らの中心的なアイデンティティの管理方法を変更させることになります。[email protected]
! Acmeはベストプラクティスに従うことができません。最も問題があるのは、Acmeが、Mavenの成果物に署名するために開発チームに主キーへのアクセス権を与える場合、Acmeはその中心的なアイデンティティー(例えば、財務諸表に署名するための)を危うくすることです。
サブネットをシミュレートするために、Acmeは[email protected]
などの別の電子メールアドレスのキーを作成し、Mavenアーティファクトに署名するために開発チームにプライマリキーを渡すことができます。公開鍵サーバー上のキーを一覧表示する場合しかし、その後、「アクメ」を検索すると、次のように現れます:私に
Acme <[email protected]>
Acme <[email protected]>
これは混乱を招くようです。このため、コメントフィールド "software"を使用して、 "これはMavenが非常に密集しているためソフトウェアアーチファクトに署名するために使用しているキーです。このためにメインアイデンティティのサブキーを使用できません"ということを示すことができます。したがって、2つのアクメ鍵は、公開鍵サーバにそのように記載されていることになります。いくつかの作家は、コメント欄のほとんどの使用が正当でないことを非常に頑固なので
Acme <[email protected]>
Acme (software) <[email protected]>
、私が尋ねる:「は、キーのこの種です-purpose "GPGユーザーIDのコメントの正当な使用を指定しますか?または別の[email protected]
と[email protected]
のキーを使用する方が適切でしょうか?または、単に1つのプライマリ[email protected]
キーを使用して、開発チームにアクセスさせることができますか?
私は、主な企業IDに 'Acme、Inc. <[email protected]> 'を使用することにし、' Acme、Inc.(software)<[email protected]> 'を同じ電子メールアドレス '<[email protected]> 'を使用して公開された2つの異なる主キーを持つという欠点がありますか? –
私は何の問題も見当たりません。ただ一つのマシンに複数のキーがあるなら、正しいキーを参照してください。 –