🔐

GnuPG Setup

に公開
GnuPG
setup
tech

備考

GnuPGのインストール後、最初のキーペアを作成する手順についての記事です。
環境: (arm64) M1 MacBook Air / GnuPG 2.5.9

内容

1. キー生成コマンドの実行

ターミナルを開き、以下のコマンドを入力します。対話形式でキーの作成が始まります。

gpg --full-generate-key

2. 暗号アルゴリズムの選択【最重要】

まず、どのような暗号方式で鍵を作るか尋ねられます。これが最も重要な選択です。

Please select what kind of key you want:
   (1) RSA and RSA
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (9) ECC (sign and encrypt) *default*
  (10) ECC (sign only)
  (14) Existing key from card
  (16) ECC and Kyber
Your selection?
選択肢 アルゴリズム 特徴 おすすめ度
(9) ECC (sign and encrypt) 【現在の標準(デフォルト)】 楕円曲線暗号。RSAより短い鍵長で同等の安全性を高速に実現します。特別な理由がなければ、このデフォルト選択が最も推奨されます。 互換性も高く、バックアップも簡単です。 ★★★★★
(1) RSA and RSA 【互換性重視】 最も古くから使われている方式。非常に古いシステムとの互換性を最優先する場合に適しています。 ★★★☆☆
(16) ECC and Kyber 【最先端・実験的】 耐量子計算機暗号(PQC)を組み合わせた最先端の方式。将来の脅威に備えられますが、現在のGnuPGでは秘密鍵のファイル書き出し(バックアップ)がサポートされておらず、専門的な知識がなければ安全な管理が非常に困難です。 ★☆☆☆☆ (上級者向け)
(2) DSA and Elgamal 【旧世代】 かつての標準でしたが、現在はECCが主流であり、積極的に選ぶ理由はありません。 ☆☆☆☆☆

【重要】どの鍵を選ぶべきか?

以前のメモでは「(16) ECC and Kyber がおすすめ」としていましたが、その後の検証でこの選択肢には「秘密鍵のバックアップが通常の方法でできない」という重大な制約があることが判明しました。

PCの故障や買い替えに備えられないため、一般的な利用においては (16) を選ぶべきではありません。

結論として、最も安全かつ便利な選択肢は (9) ECC (sign and encrypt) です。

Your selection? 9

3. 楕円曲線の種類の選択

(9) を選ぶと、次にどの楕円曲線を使うか尋ねられます。

Please select which elliptic curve you want:
   (1) Curve 25519 *default*
   (4) NIST P-384
   (6) Brainpool P-256
Your selection?

ここもデフォルトの (1) Curve 25519 が最適です。現代的で、高速かつ安全性が高いと広く評価されています。
そのままEnterキーを押すだけでOKです。

Your selection? 1

4. 鍵の有効期限の設定

次に、作成する鍵の有効期限をいつまでにするか尋ねられます。

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)

定期的に鍵を更新するのは良いセキュリティ習慣です。失効や紛失のリスクを考えると、有効期限を設定することをお勧めします。 1y(1年)や 2y(2年)あたりが一般的です。

今回は 1y にします。

Key is valid for? (0) 1y
Key expires at Wed Jul 22 12:40:56 2026 JST
Is this correct? (y/N) y

5. ユーザー情報の設定と最終確認

最後に、この鍵の所有者情報(ID)を作成します。

GnuPG needs to construct a user ID to identify your key.

Real name: mimulus mi
Email address: mimulus-@outlook.jp
Comment:
You selected this USER-ID:
    "mimulus mi <mimulus-@outlook.jp>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

Real nameEmail address を入力し、Comment は空欄で構いません。
内容に間違いがなければ o と入力して確定します。

この後、秘密鍵を保護するためのパスフレーズを2回入力するよう求められます。これは非常に重要なパスワードなので、忘れない、かつ推測されにくいものを設定してください。

6. 生成完了

以下のような出力が表示されれば、GPGキーの作成は成功です。

public and secret key created and signed.

pub   edxxx 2025-07-22 [SC] [expires: xxxx-xx-xx]
      xxxxxxxxxxxxxx
uid                      mimulus mi <mimulus-@outlook.jp>
sub   cvxxx 2025-07-22 [E] [expires: xxxx-xx-xx]
      xxxxxxxxxxxxxx
  • pub edxxx: 署名用の主鍵
  • sub cvxxx: 暗号化用の副鍵

成果物

Contact me(mimulus-@outlook.jp with
https://keys.openpgp.org/vks/v1/by-fingerprint/DDA60FB5AD559DD705A7C38E01B9F1F6043332FA

Discussion