Po co passphrase, skoro mam klucz prywatny w pliku?

Bez passphrase **każdy z dostępem do pliku z kluczem prywatnym** (np. ktoś, kto ukradnie Ci laptopa) może czytać Twoje e-maile i podpisywać commity w Twoim imieniu. Passphrase **szyfruje klucz prywatny dodatkową warstwą**. Bez znajomości passphrase plik jest bezużyteczny. Standard branżowy.

Co znaczy "klucz publiczny" vs "prywatny"?

**Klucz publiczny rozdajesz wszystkim** (e-mail w stopce, GitHub, profil firmy). Każdy może zaszyfrować dla Ciebie tym kluczem. **Klucz prywatny trzymasz tylko Ty** (na swoim komputerze, najlepiej w pendrive z YubiKey). Tylko Ty możesz odszyfrować to, co zaszyfrowano publicznym. Asymetria = bezpieczeństwo.

Co to fingerprint i key ID?

**Fingerprint** to 40-znakowy hex (SHA-1 całego klucza), Twój unikalny "kryptograficzny odcisk palca". **Key ID** to ostatnie 16 znaków fingerprintu, krótka wersja używana w UI. Gdy ktoś podaje "moj klucz: 1A2B 3C4D ...", **zweryfikuj fingerprint** zanim ślepo zaufasz (atak MITM podmienia klucze).

Czy mogę zmienić passphrase później?

Tak, ale **nie tu**, ten tool tylko generuje. W GnuPG (`gpg --edit-key`), w ProtonMail przez ustawienia, w Keybase też. **Sam klucz prywatny pozostaje ten sam**, zmienia się tylko sposób jego ochrony.

Co jeśli zgubię klucz prywatny?

**Nie odszyfrujesz starych wiadomości**, nigdy. To samo czyni PGP bezpiecznym. Standardowa praktyka: **wygeneruj certyfikat odwołania (revocation certificate)** od razu po stworzeniu klucza, zapisz w sejfie. Jeśli zgubisz klucz, opublikujesz cert, by ostrzec resztę świata, że Twój klucz publiczny jest spalony. Tu nie generujemy revocation (zaawansowane), zrób to w GnuPG.

Klucz wygasł, co teraz?

Wygenerujesz nowy, opublikujesz, ogłosisz na blogu/Twitterze, że to nowy. **Stary klucz wciąż odszyfrowuje stare wiadomości**, nie tracisz historii. Wygasanie to **zabezpieczenie** na wypadek, gdy zapomnisz o kluczu albo zgubisz dostęp.

Czy Wasz serwer widzi moje klucze?

**Nie**. Cała generacja odbywa się w Twojej przeglądarce (biblioteka OpenPGP.js, ten sam kod, którego używa ProtonMail). Otwórz **DevTools → Network**, żadnego requestu nie zobaczysz w trakcie generacji. Nasz serwer dostarcza tylko statyczny HTML/JS/CSS.

Mogę użyć tego klucza w GnuPG / Thunderbird / ProtonMail?

Tak, **klucze są w standardzie OpenPGP** (RFC 4880), format ASCII "armored". W GnuPG: `gpg --import private.asc`. W Thunderbird: Ustawienia, Szyfrowanie end-to-end, OpenPGP, Import. W ProtonMail: Settings, Encryption and keys, Import.

Czy to zastępuje S/MIME?

PGP i S/MIME rozwiązują ten sam problem (szyfrowane e-maile), ale są **niekompatybilne**. S/MIME używa certyfikatów X.509 (jak HTTPS, drzewo CA), PGP używa "Web of Trust" (sieć zaufania peer-to-peer). PGP dominuje wśród programistów i organizacji prywatności (EFF, Tor, ProtonMail), S/MIME w korporacjach (Outlook, Microsoft 365).

YourDevToolsPro

Imię i nazwisko

Wygeneruj parę kluczy OpenPGP (Ed25519 lub RSA) bezpośrednio w przeglądarce. Format armored ASCII, gotowy do importu.

LiveDziała w przeglądarce

Generator pary kluczy PGP

Wygeneruj parę kluczy OpenPGP do szyfrowania e-maili, podpisywania commitów i weryfikacji oprogramowania. Wszystko liczone w Twojej przeglądarce.

Imię i nazwisko

E-mail

Komentarz (opcjonalne)

Hasło do klucza prywatnego (opcjonalne)

Bez hasła każdy z dostępem do pliku klucza prywatnego może się Tobą podszyć. Stanowczo zalecamy ustawić hasło.

Krzywa / algorytm

Ważność klucza

Wszystko liczone lokalnie. Klucz prywatny nigdy nie opuszcza Twojej przeglądarki.

Co to jest klucz PGP i po co Ci on?

PGP to standard, którym do dziś chronisz prywatne e-maile (ProtonMail), podpisujesz commity na GitHubie i weryfikujesz autentyczność oprogramowania (Linux kernel, Ubuntu, podpisy paczek). Generujesz parę kluczy: publiczny (rozdajesz wszystkim) i prywatny (trzymasz tylko Ty). Każdy może coś dla Ciebie zaszyfrować używając Twojego publicznego, ale odczytasz to tylko Ty.

Tu generujesz parę w przeglądarce. Wybierz Ed25519 (nowoczesna, szybka krzywa eliptyczna) albo klasyczne RSA-2048/4096 (kompatybilność z każdym starym narzędziem). Klucze są w formacie ASCII "armored", możesz wkleić wprost do Gmaila, na GitHub, do Keybase.

Wszystko liczone w Twojej przeglądarce. Klucz prywatny nigdy nie opuszcza urządzenia. To podstawowa zasada PGP, klucz prywatny zna tylko Ty.

Jak korzystać

Wpisz imię i nazwisko oraz e-mail, te dane są wbudowane w klucz publiczny jako "User ID".
Opcjonalnie wpisz komentarz (np. "GitHub", "praca", "osobisty") jeśli masz wiele kluczy dla różnych celów.
Hasło do klucza prywatnego (passphrase): zalecane! Bez niego ktokolwiek z dostępem do pliku może podpisywać w Twoim imieniu.
Wybierz krzywą: Ed25519 dla nowoczesnych zastosowań (GitHub, ProtonMail), RSA-2048 dla starszych systemów, RSA-4096 gdy chcesz maksymalnego zapasu (generacja trwa kilka sekund).
Wybierz ważność klucza: 1, 2, 5 lat albo bez końca. Krótsza ważność = lepsza praktyka, klucz może zostać unieważniony.
Klikasz Generuj. Po chwili masz public key, private key, fingerprint (krótki identyfikator klucza) i key ID.

Do czego się przydaje

Sześć typowych sytuacji, w których klucz PGP rozwiązuje problem:

Szyfrowanie e-maili w ProtonMail/Tutanota/Thunderbird. Wymieniasz publiczny klucz ze znajomym, dalej każdy szyfruje dla drugiego.
Podpisywanie commitów na GitHub. Dodajesz publiczny klucz do konta, commity dostają zieloną odznakę "Verified".
Weryfikacja podpisu paczki linuksowej. Podpis PGP gwarantuje, że paczka pochodzi od oryginalnego autora (apt-get, pacman).
Identyfikacja w Keybase, ProtonMail Public Key Server, GitHub. Twój klucz publiczny to Twoja kryptograficzna tożsamość.
Backup hasła czy klucza API. Zaszyfruj plik swoim publicznym kluczem, możesz nawet wrzucić na publiczne repozytorium.
Anonimowy whistleblowing. Dziennikarze i organizacje (np. Wikileaks, ProPublica) publikują swój klucz publiczny, by źródła mogły bezpiecznie przesłać dokumenty.

Aby zaszyfrować tekst bez kluczy (tylko hasłem), użyj szyfrowania AES. Do podpisywania JWT zobacz JWT signer/verifier.

Pytania i odpowiedzi

Ed25519 to nowoczesny standard. Mniejsze klucze (256-bit vs RSA-4096), szybsza generacja (milisekundy zamiast sekund), wciąż bezpieczna. RSA wybierz tylko jeśli musisz wspierać stary system, który Ed25519 nie obsługuje (rzadkie w 2025). GitHub, GPG 2.1+, ProtonMail, wszyscy wspierają Ed25519.

Mogą Cię też zainteresować

Powiązane narzędzia

Generator kluczy JWT

Wygeneruj parę kluczy do podpisywania JWT: RS256/RS384/RS512, PS256, ES256/ES384/ES512 albo EdDSA. PEM + JWK + przykładowy podpisany JWT. Po stronie serwera, nigdzie nie zapisujemy.

Generator CSR

Wygeneruj CSR (Certificate Signing Request) i klucz prywatny w przeglądarce. RSA, ECDSA, SANs, PEM.

Szyfrowanie AES

Zaszyfruj tekst hasłem (AES-GCM 256). Wszystko w przeglądarce, nic nie wychodzi na serwer.

Generator kluczy DKIM

Wygeneruj parę kluczy RSA dla DKIM i gotowy rekord TXT do wklejenia w DNS. 1024 / 2048 / 4096 bitów, po stronie serwera.

Podpisywanie i weryfikacja JWT

Podpisz JWT secretem albo kluczem prywatnym. Zweryfikuj istniejący token. HS/RS/ES/PS256/384/512.

Imię i nazwisko

Wygeneruj parę kluczy OpenPGP (Ed25519 lub RSA) bezpośrednio w przeglądarce. Format armored ASCII, gotowy do importu.

LiveDziała w przeglądarce

Generator pary kluczy PGP

Wygeneruj parę kluczy OpenPGP do szyfrowania e-maili, podpisywania commitów i weryfikacji oprogramowania. Wszystko liczone w Twojej przeglądarce.

Imię i nazwisko

E-mail

Komentarz (opcjonalne)

Hasło do klucza prywatnego (opcjonalne)

Bez hasła każdy z dostępem do pliku klucza prywatnego może się Tobą podszyć. Stanowczo zalecamy ustawić hasło.

Krzywa / algorytm

Ważność klucza

Wszystko liczone lokalnie. Klucz prywatny nigdy nie opuszcza Twojej przeglądarki.

Co to jest klucz PGP i po co Ci on?

Wszystko liczone w Twojej przeglądarce. Klucz prywatny nigdy nie opuszcza urządzenia. To podstawowa zasada PGP, klucz prywatny zna tylko Ty.

Jak korzystać

Wpisz imię i nazwisko oraz e-mail, te dane są wbudowane w klucz publiczny jako "User ID".
Opcjonalnie wpisz komentarz (np. "GitHub", "praca", "osobisty") jeśli masz wiele kluczy dla różnych celów.
Hasło do klucza prywatnego (passphrase): zalecane! Bez niego ktokolwiek z dostępem do pliku może podpisywać w Twoim imieniu.
Wybierz krzywą: Ed25519 dla nowoczesnych zastosowań (GitHub, ProtonMail), RSA-2048 dla starszych systemów, RSA-4096 gdy chcesz maksymalnego zapasu (generacja trwa kilka sekund).
Wybierz ważność klucza: 1, 2, 5 lat albo bez końca. Krótsza ważność = lepsza praktyka, klucz może zostać unieważniony.
Klikasz Generuj. Po chwili masz public key, private key, fingerprint (krótki identyfikator klucza) i key ID.

Do czego się przydaje

Sześć typowych sytuacji, w których klucz PGP rozwiązuje problem:

Szyfrowanie e-maili w ProtonMail/Tutanota/Thunderbird. Wymieniasz publiczny klucz ze znajomym, dalej każdy szyfruje dla drugiego.
Podpisywanie commitów na GitHub. Dodajesz publiczny klucz do konta, commity dostają zieloną odznakę "Verified".
Weryfikacja podpisu paczki linuksowej. Podpis PGP gwarantuje, że paczka pochodzi od oryginalnego autora (apt-get, pacman).
Identyfikacja w Keybase, ProtonMail Public Key Server, GitHub. Twój klucz publiczny to Twoja kryptograficzna tożsamość.
Backup hasła czy klucza API. Zaszyfruj plik swoim publicznym kluczem, możesz nawet wrzucić na publiczne repozytorium.
Anonimowy whistleblowing. Dziennikarze i organizacje (np. Wikileaks, ProPublica) publikują swój klucz publiczny, by źródła mogły bezpiecznie przesłać dokumenty.

Aby zaszyfrować tekst bez kluczy (tylko hasłem), użyj szyfrowania AES. Do podpisywania JWT zobacz JWT signer/verifier.

Pytania i odpowiedzi

Mogą Cię też zainteresować