PGP鍵生成ツールとは?
メールの暗号化や文書の署名に使えるPGP(Pretty Good Privacy)鍵ペアを生成します。RSAかECCを選び、鍵サイズを決めれば完了です。鍵はお使いのデバイス上で生成され、外部に送信されることはありません。
Curve25519上のECC鍵は約200バイトしかなく、4096ビットRSAより速くて軽いのが特徴です。ただし一部の古いクライアントはRSAしか扱えません。本ツールは鍵ペアと同時に失効証明書も発行するので、万一秘密鍵が漏れたらこの失効証明書を公開し、鍵サーバ全体にその身元を無効と通知できます。
使い方
- 名前とメールアドレスを入力してください。鍵のIDに使われます。秘密鍵を保護するパスフレーズも設定できます。
- アルゴリズム(RSA 2048/3072/4096またはECC Curve25519)を選択し、必要に応じて有効期限を設定します。
- 「生成」をクリックして鍵ペアを作成します。公開鍵は共有用にダウンロードし、秘密鍵は安全に保管してください。
使用するタイミング
- 情報源からのリークやスクープ、機微な添付ファイルを暗号化通信で受け取る場面。
- Gitコミット、リリースのtarball、パッケージマニフェストに署名し、利用者が出所を検証できるようにする場面。
- クラウド同期に置く前に、バックアップやパスワード金庫を暗号化しておきたい場面。
結果
たとえばジャーナリストが暗号化された情報を受け取りたい場合。ECC Curve25519の鍵ペアを生成し、公開鍵を情報源に送り、秘密鍵はパスワードマネージャーに保管します。
よくある質問
- ECC Curve25519とRSA、どちらを選ぶべき?
- Curve25519は高速で小さく、強度はRSA 3072相当と見なされています。基本はこちらでよく、2018年頃以前の古いソフトウェア(企業のメールゲートウェイなど)との互換が必要なときだけRSA 4096に切り替えてください。
- パスフレーズは何を守っているのですか?
- ディスク上の秘密鍵をAESで暗号化しています。鍵ファイルを盗まれてもパスフレーズがなければ使えません。端末が侵害されたとき最後の砦になるので、長く・ユニークに・パスワードマネージャーだけに保存しておきましょう。
- 失効証明書は何のためにあり、どこに保管すべき?
- 事前に署名された「この鍵はもう無効です」という宣言です。秘密鍵を紛失または漏えいしたとき、これを鍵サーバに公開すれば公開鍵が無効化されます。紙にも印刷して、通常のバックアップとは別の場所にオフラインで保管してください。
- PGP鍵は失効できるのに、なぜ有効期限を設けるの?
- 保険のためです。万一鍵にアクセスできなくなり失効証明書も公開できない状況になっても、有効期限が来れば自動的に信用されなくなります。一般的には1〜2年に設定し、鍵を管理できる間は定期的に延長します。
- パスフレーズを忘れたらどうなりますか?
- 秘密鍵は復元できません——そういう設計です。マスターキーもサポート窓口もリセットリンクもありません。その公開鍵で暗号化されたメールやファイルは開けなくなります。リスクが大きい場合は、パスフレーズを2か所に保管してください(パスワードマネージャー+封筒に入れた紙の控え)。