Em palavras simples, funciona assim:

  • There is a primary ed25519 identity secret key file named "ed25519_master_id_secret_key". Este é o mais importante, então tenha certeza de manter um backup em um lugar seguro - o arquivo é sensível e deve ser protegido. Tor pode criptografá-lo para você se você gerá-lo manualmente e digitar uma senha quando perguntado. Uma chave de assinatura de médio termo nomeada "ed25519_signing_secret_key" é gerada para o Tor usar. Also, a certificate is generated named "ed25519_signing_cert" which is signed by the primary identity secret key and confirms that the medium term signing key is valid for a certain period of time. A validade padrão é 30 dias, mas isso pode ser personalzado configurando ""SigningKeyLifetime N days|weeks|months" no torrc.
  • There is also a primary public key named "ed25519_master_id_public_key, which is the actual identity of the relay advertised in the network. Essa não é sensível e pode ser facilmente obtida pela "ed5519_master_id_secret_key".

Tor will only need access to the medium term signing key and certificate as long as they are valid, so the primary identity secret key can be kept outside DataDirectory/keys, on a storage media or a different computer. Você terá que manualmente renovar a chave de assinatura de médio prazo e o certificado antes que eles expirem, de outra forma o processo do Tor no relé irá sair após a expiração.

Este recurso é opicional, você não precisa usá-lo a não ser que queira. If you want your relay to run unattended for longer time without having to manually do the medium term signing key renewal on regular basis, best to leave the primary identity secret key in DataDirectory/keys, just make a backup in case you'll need to reinstall it. Se você quiser usar esse recurso, você pode consultar nosso guia mais detalhado sobre o tópico.