Export and Import GPG keys

다양한 호스트를 오가며 개발을 진행할 때, 이미 GPG 키를 활성화해서 사용 중이라면 반드시 GPG 키가 필요한 경우가 많습니다. 단순히 scp 등을 활용하여 파일 자체를 전송하거나 보유한 공개키를 플레인 텍스트로 출력해서 옮길 환경에 새로 작성하는 것도 가능하지만, 본 글에선 공개키 배포 서버를 활용해 인터넷이 가능한 환경이라면 어디서나 안전하게 키를 배포할 방법을 설명드립니다.

공개키 보유 환경(from)

현 상황은 GPG키가 이미 생성되어있음을 가정합니다. 공개키를 배포서버에 업로드하기 위해선 먼저 옮길 공개키의 핑거프린트를 확인해야합니다.

1. 핑거프린트 출력 사용하기 편리하도록 핑거프린트의 끝에서부터 8글자만 출력하도록 awk로 출력 내용을 조금 수정했습니다.

gpg --with-colons --fingerprint <GPG이메일> | awk -F: '$1 == "fpr" {print substr($10,33,8);}'

공개키 배포서버는 신뢰할만한 서버를 선택해 업로드해야합니다. 예시에선 Ubuntu의 공개키 배포서버를 활용했습니다.

1. 공개키 서버(keyserver.ubuntu.com)에 배포 주의할 점은 프로토콜 부분까지 넣느냐, 안 넣느냐를 배포할 때와 임포트 할 때 일치시켜야 정상적으로 공개키를 임포트할 수 있습니다. --keyserver 플래그는 따로 설정하지 않으면 자동으로 hkps 프로토콜로 우분투 키서버에 전송합니다. 이 외에도 pgp.mit.edu 등의 공개키 배포서버를 활용할 수 있습니다.

# Sending key to hkp://keyserver.ubuntu.com
gpg --keyserver keyserver.ubuntu.com --send-key <핑거프린트>

# Sending key to hkps://keyserver.ubuntu.com
gpg --keyserver hkps://keyserver.ubuntu.com --send-key <핑거프린트>

# Sending key to hkps://keyserver.ubuntu.com
gpg --send-key <핑거프린트>

공개키 옮길 환경(to)**

새롭게 공개키를 활용할 환경입니다.

1. 공개키 배포 서버에서 공개키를 내려받습니다. 이때 배포 서버를 넣는 부분은 공개키 배포 때 입력한 프로토콜과 일치시켜야 합니다.

별도의 설정 없이 바로 사용할 수도 있지만 GPG를 활용하는 상황에서 다음과 같은 메시지가 출력될 수 있습니다. 다음 예시는 AWS-Vault와 Pass를 활용해 프로필을 생성하는 과정입니다.

위의 메시지는 외부에서 공개키를 받은 후 trust에 별도의 사인을 수행하지 않아서 그렇습니다. 그냥 진행해도 되지만, 다음처럼 사인 후 진행하면 더 이상 위와 같은 메시지는 출력되지 않습니다(출처).

사인 후 핑거프린트 정보를 출력하면 trust가 unknown에서 ultimate로 변경된 것을 확인할 수 있으며 더 이상 경고 메시지가 출력되지 않습니다.