Как работают офлайн-ключи идентификации ed25519 и что операторам узлов следует о них знать

Офлайн-ключи ed25519 позволяют операторам узлов хранить самый секретный ключ идентификации вне сети для повышения безопасности, используя при этом краткоживущий ключ подписи на работающем узле.

Офлайн-ключи идентификации ed25519 позволяют защитить долгосрочный ключ идентификации вашего узла, храня его вне сети и используя вместо него ключ подписи среднего срока действия. Простыми словами:

  • Существует основной секретный ключ идентификации ed25519 с именем «ed25519_master_id_secret_key». Это самый важный ключ. Убедитесь, что сделали резервную копию и храните ее в надёжном месте. Этот файл уязвим и нуждается в защите. Tor может его для вас зашифровать, если вы создадите ключ вручную и в ответ на запрос укажете пароль.
  • Для использования Tor генерируется ключ подписи среднего срока действия с именем «ed25519_signing_secret_key». Кроме того, создается сертификат "ed25519_signing_cert". Он подписан главным идентификационным секретным ключом и подтверждает, что среднесрочный подписывающий ключ актуален в определённый промежуток времени. По умолчанию этот промежуток – 30 дней, но его можно настроить в файле "torrc" с помощью параметра "SigningKeyLifetime N days|weeks|months".
  • Также существует основной публичный ключ с именем «ed25519_master_id_public_key», который фактически идетифицирует узел в сети. Этот ключ не нуждается в защите. Его можно вычислить, зная "ed5519_master_id_secret_key".

Tor нужен доступ только к среднесрочному ключу подписи и сертификату в пределах их срока действия. Таким образом, главный секретный идентификационный ключ узла Tor может храниться вне папки "DataDirectory/keys", например, на съёмном носителе или на другом компьютере. Вам придется вручную обновить среднесрочный ключ подписи и сертификат до истечения их срока действия, в противном случае процесс Tor на узле завершится по его истечении.

Эта опция не является обязательной. Вы можете использовать её по необходимости. Если вы предпочитаете, чтобы ваш узел работал продолжительное время без регулярного ручного обновления среднесрочного подписывающего ключа, лучше оставить главный секретный идентификационный ключ узла в папке "DataDirectory/keys". Просто сделайте резервную копию этого ключа на случай переустановки. If you want to use this feature, you can consult our more detailed guide on the topic.