2006年からの OpenPGP 公開鍵運用について

no extension

現在 BkGnuPG リリースなどで使用している署名鍵が今年いっぱいで有効期間が切れます。 この機会に2006年から OpenPGP の運用方針を変更します。 この運用スタイルについては「IPA/ISEC の PGP 公開鍵について」を参考にしました。

新しい運用では公開鍵を「ルート鍵」と「運用鍵」の2種類に分けます。 ルート鍵はひとつですが, 運用鍵は目的により複数作成します。 また運用鍵は必ずルート鍵で「信用署名」されます。 したがってルート鍵に信用度を設定しておけば各運用鍵にも(ルート鍵の信用度に応じて)自動的に有効性が設定されます。 今のところ運用鍵は署名専用鍵のみで暗号化が可能な鍵はありませんが, 必要であれば作成します。

「信用署名」というのは鍵への署名時にユーザが独自の信用レベルを設定できる仕組みで, RFC2440 の 5.2.3.12 に説明があります。 GnuPG ではバージョン 1.4 から信用署名および信用署名を使った新しい信用モデルが利用できるようになりました。 (GnuPG から追加された機能については以下のページが参考になります)

内部的には Signature Packet (tag 2) に trust signature (sub 5) が追加され, Level と Amount パラメータがセットされます。

2006年から使用する公開鍵は当面このサイトで運用します。 OpenPKSD.ORG新しい公開鍵サーバ(OpenPKSD-TKS)を稼動させる計画があるようなので, 稼動に合わせて OpenPKSD-TKS 上で運用実験をやってみようかなぁ, と目論んでいます。

参考: