在线PGP生成器的选择标准

Question

在生成用于加密电子邮件的公钥/私钥时:是否有选择一个在线密钥生成器在另一个上面？的思路或推理？

任何能使问题尖锐的建议或编辑都会受到赞赏。谢谢。

更新

深思熟虑的响应共识表明，必须能够信任在线生成器，并且它不会故意生成弱密钥或记录输出，并将其转发给恶意行为者。

加密的目的是保护财务信息和专利草案。想知道科莫多是否值得信赖？(也许这应该是另一个问题)

https://www.comodo.com/home/email-security/free-email-certificate.php

Answer 1

正确的理由是不要。问题太多了。

它可以使用JavaScript生成它，而不是将它发送到服务器，但是JavaScript是由服务器发送的，因此可以随时更改(甚至是针对特定的目标用户)。

它可以使用一个好的CSPRNG来生成它，但同样，这可以更改为在任何时候对任何用户或所有用户使用备份的或弱的PRNG。在这种情况下，您不会收到任何网络请求，但是您的密钥很容易被破坏。

它可以使用由系统种子的CSPRNG，但它可以在任何时候更改为使用带有恶意网站已知的随机值的CSPRNG，在这种情况下，密钥不会弱，但无论如何都会被网站知道。

只使用您信任的软件生成密钥。由于JavaScript是由网站在每次访问它时发送的，所以您必须相信该网站没有受到破坏，没有恶意，而且每次您访问它时，开发人员和维护人员都是称职的。更可取的做法是使用GPG等知名和受广泛信任的软件进行签名发布来生成密钥。

Answer 2

我不建议使用任何在线密钥生成器。即使网站生成密钥客户端，它仍然有可能将密钥发送到其他地方，或者使用有意的弱密钥生成。

相反，您应该使用PGP工具(如GPG：https://help.github.com/articles/generating-a-new-gpg-key/ )脱机生成密钥。