Создание и управление GPG-ключом

TL;DR: GPG — свободный инструмент для шифрования, подписи и аутентификации. Создать ключ можно графическими клиентами (Kleopatra на ПК, OpenKeychain на Android) или через gpg в терминале. Важные шаги: выбрать тип ключа и размер (RSA 4096), задать срок действия, создать надежную парольную фразу, сохранить резервную копию и сертификат отзыва, по возможности использовать смарт-карту (YubiKey) и не публиковать ключ на сервере, если не готовы к постоянному хранению UID. В этой статье — пошаговые инструкции, сценарии на разных платформах, проверенные практики безопасности, чеклисты и процедуры на случай компрометации.

Замок на клавиатуре ноутбука

GPG часто кажется сложным по истории его пользователей и терминологии, но современные клиенты и понятные процедуры делают создание и управление ключами доступным для большинства пользователей. Ниже — объяснение, как и зачем создавать GPG-ключ, пошаговые инструкции для популярных платформ, рекомендации по безопасности и готовые чеклисты и процедуры.

Что такое GPG-ключ

GPG (GnuPG, GNU Privacy Guard) — это свободное криптографическое программное обеспечение, реализующее стандарт OpenPGP. GPG позволяет:

шифровать и расшифровывать данные;
подписывать и проверять подписи;
выполнять аутентификацию и обмен ключами в сети доверия (web of trust);
создавать симметричные и асимметричные ключи.

Ключ в GPG — пара: открытый ключ (передаваемый другим людям для шифрования ваших сообщений или проверки подписи) и закрытый (секретный) ключ, который хранится у вас и используется для расшифровки и подписи.

Кратко: публичный ключ — то, что вы показываете другим; приватный ключ — то, что храните в секрете.

Короткая история GPG

GPG произошёл от PGP (Pretty Good Privacy), написанного Филом Циммерманом в начале 1990-х. PGP стал важным проектом в истории свободного ПО и конфиденциальности. Из-за юридических ограничений на экспорт криптографии в то время исходные тексты распространялись необычными способами; позже проект стал открытым и перерос в GnuPG под управлением сообщества.

Когда вам нужен собственный GPG-ключ

GPG полезен, если вы хотите:

шифровать e‑mail и вложения;
подписывать исходный код и документы;
аутентифицировать сообщения и взаимодействие с коллегами;
создать устойчивая цепочку доверия для публичной квалификации личности.

GPG не заменяет привычные мессенджеры с E2E (например, Signal), но даёт совместимый с OpenPGP способ защиты файлов и почты.

Генерация GPG-ключа на компьютере (Kleopatra)

Kleopatra — графический менеджер ключей, часть набора Gpg4win на Windows и доступный в пакетах для GNU/Linux. Он подходит тем, кто предпочитает GUI вместо командной строки.

Установка в популярных дистрибутивах:

Для Debian/Ubuntu (APT):

sudo apt-get install kleopatra

Для Red Hat/Fedora (RPM):

sudo yum install kleopatra

Для Windows загрузите и установите Gpg4win с официального сайта.

Запустите Kleopatra после установки. Интерфейс схож на всех платформах.

При первом запуске используйте меню File → New Key Pair → Generate personal OpenPGP key pair.

Kleopatra попросит указать имя и адрес электронной почты. Рекомендуется использовать реальные данные, если вы планируете связывать этот ключ с идентичностью; но вы можете использовать псевдоним, если это соответствует вашей модели угроз.

В Advanced Settings задайте тип и размер ключа. Современная рекомендация для RSA — 4096 бит. Если вы планируете использовать ключ для SSH, отметьте Authentication.

Срок действия: укажите разумный срок (1–3 года), чтобы упрощать ротацию. Когда срок истечёт, ключ можно продлить или создать новый и оповестить контакты.

После создания программа попросит придумать парольную фразу (passphrase). Это основной уровень защиты секретного ключа — длинная и уникальная фраза предпочтительнее короткой сложной строки.

Процесс генерации может занять время — особенно на старых компьютерах — из-за необходимости собрать энтропию.

Когда ключ создан, сделайте экспорт резервной копии секрета и сохраните сертификат отзыва (revocation certificate). Если планируете использовать ключ для почты, можно загрузить публичный ключ на серверы ключей — но помните, что записи на большинстве серверов долговечны.

Добро пожаловать в Kleopatra

Создание пары OpenPGP в Kleopatra

Параметры имени и e‑mail при создании ключа

Технические параметры ключа в Kleopatra

Успешное создание ключа в Kleopatra

Важно: если вы публикуете ключ на общедоступных серверах, UID (имя и email) будет публично доступен и останется в записях. Решите заранее, хотите ли вы такой постоянный след.

Генерация ключа на Android (OpenKeychain)

OpenKeychain — свободная реализация OpenPGP для Android. Она интегрируется с почтовыми клиентами, такими как K-9 Mail, и предоставляет удобный интерфейс для управления ключами.

Установите OpenKeychain из Google Play или F‑Droid.
Откройте приложение и выберите Create My Key.
Введите имя и адрес электронной почты; при желании можно публиковать ключ на серверах прямо из интерфейса.
Создайте парольную фразу и дождитесь завершения операции.

Процесс создания ключа в OpenKeychain

Добавление email в OpenKeychain

Опция публикации на серверах ключей в OpenKeychain

Шифрование с помощью OpenKeychain

Как и в случае с Kleopatra, создайте резервные копии и сертификат отзыва; избегайте публикации, если не готовы управлять ключом в долгосрочной перспективе.

Генерация ключа через командную строку (gpg)

Для тех, кто предпочитает CLI, gpg предоставляет гибкий процесс генерации и управления ключами.

Команда для создания полного интерактивного ключа:

gpg --full-generate-key

Выберите:

Тип ключа (рекомендуется RSA и RSA).
Размер ключа (4096 бит).
Срок действия (например, 1y для одного года, 2y для двух лет или 0 для бессрочного).
Имя и email.
Парольную фразу.

Экспорт публичного ключа:

gpg --armor --export you@example.com > public-key.asc

Экспорт секретного ключа (с осторожностью):

gpg --armor --export-secret-keys you@example.com > secret-key.asc

Создание сертификата отзыва:

gpg --output revoke.asc --gen-revoke you@example.com

Импорт ключа на другой машине:

gpg --import secret-key.asc

Проверка работоспособности: зашифруйте тестовое сообщение своим публичным ключом и расшифруйте приватным ключом.

Настройки и архитектура ключей: как выбирать правильно

Основные параметры, на которые стоит обратить внимание:

Алгоритм: RSA (совместимость) или эллиптические кривые (modern algorithms). RSA 4096 — безопасный выбор для большинства.
Подписи и шифрование: обычно генерируют основной ключ для подписи/сертификации и отдельные под‑ключи для шифрования и аутентификации (SSH). Под‑ключи проще отозвать и заменить.
Срок действия: указывайте разумный период (1–3 года) для упрощения ротации.
Парольная фраза: длинная, уникальная, запоминаемая фраза; используйте менеджер паролей для хранения при необходимости.
Смарт‑карта: хранение секретного ключа на аппаратном носителе (YubiKey, Nitrokey) значительно снижает риск компрометации.

Бэкап, экспорт и хранение секретного ключа

Экспортируйте секретный ключ в зашифрованный файл и храните на внешнем носителе (USB), желательно в нескольких офлайн‑копиях.
Создайте сертификат отзыва (revocation certificate) и сохраните копии в безопасных местах — это единственный способ объявить ключ недействительным, если вы потеряете доступ к секрету.
Никогда не пересылайте секретный ключ по электронной почте в открытом виде.
Храните секретный ключ на отключённых от сети устройствах, если ваша модель угроз предполагает достаточно высокие риски.

Как публиковать публичный ключ: ключевые сервера и альтернативы

Традиционные keyservers (HKP/UDP) сохраняют записи долго и реплицируются между серверами. Современные альтернативы, например keys.openpgp.org, предоставляют фильтрацию UID и более консервативный подход к публикации.

Публикация облегчает обмен зашифрованной почтой, но делает email и имя публичными. Подумайте, хотите ли вы хранить метаданные в общедоступной базе.

Безопасность: типичные ошибки и как их избежать

Хранение приватного ключа в облаке без надежного шифрования — риск компрометации.
Слабая или короткая парольная фраза — основная причина взлома.
Отсутствие сертификата отзыва — при потере доступа вы не сможете корректно аннулировать ключ.
Публикация на серверах без возможности отзыва — длительное присутствие ключа в публичных записях.

Митигирование: использовать аппаратные токены, создавать резервные копии, генерировать ключи на офлайн‑устройствах, хранить сертификат отзыва в нескольких защищённых местах.

Когда GPG не подходит (контрпримеры и ограничения)

Мессенджеры с E2E (Signal, WhatsApp, Telegram в секретных чатах): GPG не заменит их удобство для мгновенных разговоров и синхронизации между устройствами.
Защита метаданных: GPG шифрует содержимое, но не скрывает факта пересылки, размеров файлов или заголовков почты, пока транспорт не поддерживает скрытие метаданных.
Совместимость: некоторые сервисы и пользователи плохо знакомы с PGP, что осложняет внедрение в массовые сценарии.

Альтернативные подходы

S/MIME — альтернатива в экосистеме корпоративных сертификатов (X.509).
age — современный инструмент для простого шифрования файлов (меньше функционала, проще в использовании).
Использование аппаратных ключей для SSH и других протоколов без OpenPGP, если нужны только SSH‑функции.

Ментальные модели и эвристики

«Публичный — для всех, приватный — только для меня» — основная мысль при работе с ключами.
«Под‑ключи меняют, мастер‑ключ только подтверждает» — используйте мастер‑ключ для сертификации, а операции выполняйте под‑ключами.
«Кратность бэкапов и распределение» — делайте 2–3 офлайн копии секретного ключа в географически распределённых безопасных местах.

Мини‑методология: быстрый план действий

Решите модель угроз: нужен ли вам аппаратный токен, офлайн‑генерация, или достаточно ПК/моб. устройства.
Сгенерируйте ключ (Kleopatra/OpenKeychain/gpg).
Экспортируйте публичный ключ и по желанию опубликуйте.
Сохраните секретный ключ и сертификат отзыва в офлайн‑местах.
Настройте почтовый клиент/инструменты для шифрования и подписи.
Тестируйте шифрование и подпись с доверенным контактом.
Периодически обновляйте сроки и соглашайтесь на ротацию.

Процесс ротации и отзыва ключа

Планируйте ротацию: создавайте новый ключ до истечения срока старого.
При компрометации используйте заранее созданный сертификат отзыва и опубликуйте его.
Оповестите основные контакты и серверы, где был опубликован ключ.

Процедура на случай компрометации (инцидент‑runbook)

Используйте revocation certificate: gpg –import revoke.asc и опубликуйте отозванный ключ.
Уведомите коллег/контакты и службы, которые использовали ключ.
Создайте новый ключ, экспортируйте публичный и секретный ключи, обновите настройку в почте и CI.
Проверьте журналы и точки утечки (если применимо), измените пароли и токены, связанные с данным ключом.
По возможности сообщите третьим сторонам, где ключ был использован (репозитории, серверы подписей).

Чеклисты по ролям

Личный пользователь:

Сгенерировать ключ RSA 4096 или ECC по рекомендациям.
Создать и сохранить cert‑revoke.
Сделать 2 офлайн копии секретного ключа.
Настроить почтовый клиент для подписи/шифрования.

Разработчик/контрибьютор OSS:

Подписывать теги/коммиты ключом, привязанным к вашей публичной репутации.
Хранить секретный ключ в защищённом хранилище, использовать смарт‑карту при возможности.
Добавить публичный ключ в профиль разработчика (GitHub GPG keys).

Системный администратор:

Использовать под‑ключи для шифрования резервных копий и аутентификации.
Хранить master‑ключ офлайн.
Документировать процесс ротации и ревокации для команды.

Журналист/активист:

Минимизировать метаданные в UID, отдавать предпочтение псевдонимам, если это снижение риска.
Использовать аппаратные токены и офлайн‑генерацию.
Не публиковать ключи на общих серверах без необходимости.

Примеры команд и пресеты (cheat sheet)

Генерация полного ключа:

gpg --full-generate-key

Экспорт публичного ключа в ASCII:

gpg --armor --export you@example.com > public.asc

Экспорт секретного ключа (только в безопасной среде):

gpg --armor --export-secret-keys you@example.com > secret.asc

Создание сертификата отзыва:

gpg --output revoke.asc --gen-revoke you@example.com

Импорт ключа на другой машине:

gpg --import secret.asc

Шифрование файла для получателя:

gpg --encrypt --recipient you@example.com file.txt

Расшифровка:

gpg --decrypt file.txt.gpg > file.txt

Подпись файла:

gpg --clear-sign file.txt

Проверка подписи:

gpg --verify file.txt.asc

Конвертация OpenPGP ключа в SSH (пример):

# экспорт публичного SSH ключа из GPG (при наличии subkey для auth):
gpg --export-ssh-key you@example.com > id_gpg_ssh.pub

Критерии приёмки

Публичный ключ успешно экспортируется и импортируется на другом устройстве.
Сообщение, зашифрованное публичным ключом, расшифровывается локально закрытым ключом.
Подпись проверяется с использованием публичного ключа.
Сертификат отзыва создан и хранится в надёжном месте.
Парольная фраза соответствует политике безопасности (длина и сложность).

Сравнение: GPG vs S/MIME vs age vs мессенджеры

GPG: гибкая модель доверия, широкая поддержка для почты и файлов, ручное управление ключами.
S/MIME: основано на X.509, удобно в корпоративных почтовых средах, требует центров сертификации.
age: простое шифрование файлов, удобнее для сценариев «зашифровать файл и отправить», без инфраструктуры OpenPGP.
Мессенджеры с E2E: удобство и синхронизация устройств, но не совпадают со сценарием подписи публичных ключей или интеграции в CI.

Безопасное использование смарт‑карт (YubiKey/Nitrokey)

Генерируйте ключ на YubiKey или переносите секретный ключ в токен, если устройство поддерживает импорт.
Настройте PIN и административный PIN (PUK) на токене.
При использовании токена приватный ключ никогда не покидает устройство; операции подписи идут на токене.
Не теряйте токен и имейте план на случай потери: сертификат отзыва должен быть готов заранее.

Защитные практики и hardening

Генерация на офлайн‑машине при повышенных требованиях к безопасности.
Используйте длину ключа 4096 для RSA; рассмотрите ECC (например, Curve25519) для улучшенной производительности.
Включите двухфакторную защиту для почтовых аккаунтов и хранилищ, связанных с ключами.
Храните резервные копии секретного ключа в зашифрованном виде и распределяйте по географии.

Приватность и соответствие (GDPR и личные данные)

UID (имя и email) в публичном ключе является персональными данными и при публикации становится общедоступным. Оценивайте необходимость публичной публикации с точки зрения конфиденциальности и соответствия нормативам.
Если вы публикуете ключ в рамках деятельности организации, согласуйте публичность UID с политиками конфиденциальности.
Удаление ключа из keyserver не всегда гарантирует полное удаление исторических реплик; рассматривайте это при планировании публикации.

Тесты и приемочные сценарии

Тест 1: Зашифруйте файл публичным ключом, расшифруйте — содержимое совпадает.
Тест 2: Подпишите сообщение, сообщите получателю публичный ключ — получатель успешно проверяет подпись.
Тест 3: Импортируйте секретный ключ на запасной машине — доступ к подписи и расшифровке сохраняется.
Тест 4: Используйте revocation certificate на тестовом ключе и проверьте, что ключ считается отозванным после публикации.

Шаблоны и примеры сообщений

Шаблон письма при смене ключа:

Тема: Обновлённый GPG-ключ (you@example.com)

Здравствуйте,

Я обновил(а) свой GPG-ключ. Новый публичный ключ прилагается (или доступен по ссылке). Пожалуйста, используйте новый ключ для дальнейшей переписки. Старый ключ будет отозван и больше не используется.

Спасибо,
Имя

Шаблон уведомления о компрометации:

Тема: Срочно: Компрометация GPG-ключа (you@example.com)

Уважаемые коллеги,

Мой GPG-ключ был скомпрометирован. Я опубликовал(а) сертификат отзыва. Не доверяйте сообщениям, подписанным старым ключом. Я высылаю новый публичный ключ и прошу подтвердить получение.

Примите меры по смене ключей в ваших системах.

Глоссарий (одно предложение на термин)

OpenPGP: стандарт для шифрования и подписей электронной почты и файлов.
UID: идентификационная запись (имя и email) привязанная к ключу.
Revocation certificate: файл, позволяющий объявить ключ недействительным.
Subkey: вспомогательный ключ для операций (шифрование, подпись, аутентификация).
Smartcard: аппаратное устройство для безопасного хранения приватных ключей.

Риски и матрица mitigations

Утрата секретного ключа: иметь офлайн‑копии и сертификат отзыва.
Утечка парольной фразы: использовать длинные фразы и менеджер паролей.
Публикация UID, нежелательная видимость: не публиковать публичный ключ или использовать адрес, не связывающийся с вашей личностью.

Заключение

GPG остаётся мощным и гибким инструментом для шифрования и подписи, доступным пользователям с разными уровнями технической подготовки. Следуя простым правилам: сильный пароль, резервные копии, сертификат отзыва и, по возможности, аппаратный токен, вы существенно сократите риски. Планируйте ротацию ключей и информируйте партнёров при изменениях.

Краткое резюме ключевых шагов:

Сгенерируйте ключ (RSA 4096 или ECC).
Сохраните секретный ключ офлайн и создайте revocation certificate.
Настройте клиент (почта или инструменты) для шифрования и подписей.
По возможности используйте аппаратные токены.

Если нужно, могу предоставить:

готовый пошаговый SOP для вашей организации;
пример конфигурации для конкретного почтового клиента;
шаблон уведомления о смене/компрометации ключа.

Как создать и безопасно управлять GPG-ключом