处理用于单元测试的秘密OpenPGP密钥

Question

我正在从事一个项目，在这个项目中，软件使用GnuPG二进制文件进行加密操作。有些函数具有OpenPGP加密输出，有些函数采用OpenPGP加密输入。

为了进行单元测试，我的计划是为unittest@project.example.com生成一个无密码密钥，并将其包含在存储库中。这将(自然)使密钥不适合生产使用，但这很好，因为用户需要生成/使用自己的密钥。

现在来回答我的问题。如果密钥包含在存储库中，任何人都可以将密钥上传到密钥服务器，使用密钥对自己的密钥进行签名，或者撤销密钥(并上载吊销)。GPG可以自动从密钥服务器下载密钥，在个人密钥环中拥有这样的密钥(其中私钥是公共知识)似乎是不明智的。

是否有可能将密钥的撤销版本上传到密钥服务器(因此没有人密钥链会信任它)，并在没有撤销密钥的回购中包含密钥的版本？这是否解决了密钥出现并在个人密钥链中被信任的问题，同时仍然允许使用相同密钥进行单元测试？

Answer 1

撤销密钥服务器上的密钥，同时在本地包含非撤销版本，将不会出现问题，除非您实际从密钥服务器中获取已撤销的版本。只需在撤销密钥之前创建一个副本，并确保使用本地或甚至新的GnuPG主目录(无论如何，您都应该这样做，以维护单元测试的可复制性，并将它们与开发人员的帐户隔离开来)。这样，您应该确保您的密钥链中不会有吊销证书，除非有人手动获取它(他不应该这样做，您可能想在某个地方记录它)。

另一种需要考虑的方案是将主密钥保持为私有，但只发布一个秘密子项。这可能会使实际用于加密的密钥的后续更改更容易，并防止其他人混淆主密钥(创建用户ID、撤销任何内容、颁发证书、.)。