In einfachen Worten funktioniert es so:
- Es gibt eine Datei mit dem privaten Ed25519-Hauptidentitätsschlüssel namens „ed25519_master_id_secret_key“.
Das ist das wichtigste, daher solltest du ein Backup machen und die Datei an einem sicheren Ort aufbewahren.
Tor kann es für dich entschlüsseln, wenn du es manuell erzeugst (wenn gefragt, gib ein Passwort ein).
- Ein mittelfristiger Signierschlüssel namens „ed25519_signing_secret_key“ wird für Tor gerneriert.
Ebenso wird ein Zertifikat namens „ed25519_signing_cert“ erstellt, das vom privaten Hauptidentitätsschlüssel signiert wird und sicherstellt, dass der mittelfristige Signierschlüssel für einen bestimmten Zeitraum validiert ist.
Die standardmäßige Gültigkeit beträgt 30 Tage. Das kann in der torrc-Datei angepasst werden mit „SigningKeyLifetime N days|weeks|months“.
- Es gibt auch einen primären öffentlichen Schlüssel mit dem Namen „ed25519_master_id_public_key“, der die tatsächliche Identität des im Netzwerk beworbenen Relays darstellt.
Dieser ist nicht vertraulich und kann aus dem „ed5519_master_id_secret_key“ errechnet werden.
Tor benötigt nur Zugriff auf den mittelfristigen Signierschlüssel und das Zertifikat, solange sie gültig sind, so dass der private Hauptidentitätsschlüssel außerhalb von DataDirectory/keys, auf einem Speichermedium oder einem anderen Computer aufbewahrt werden kann.
Du musst den mittelfristigen Signierschlüssel und das Zertifikat manuell erneuern, bevor sie auslaufen, sonst wird der Tor-Prozess bei Ablauf auf dem Relay beendet.
Diese Funktion ist optional, du brauchst sie nicht zu benutzen, es sei denn, du möchtest es.
Wenn du möchtest, dass dein Relay für längere Zeit unbeaufsichtigt läuft, ohne dass du die Erneuerung des mittelfristigen Signaturschlüssels regelmäßig manuell durchführen musst, lässt du am besten den privaten Hauptidentitätsschlüssel in DataDirectory/keys, mach einfach eine Datensicherung für den Fall, dass du ihn neu installieren musst.
Wenn du diese Funktion nutzen möchtest, kannst du die detailliertere Anleitung lesen.