簡而言之,它的原理就是:
- 會有一個ed25519的主身份金鑰檔,名為「ed25519_master_id_secret_key」。
這把金鑰是最重要的,因此請確定它有安全的備份,且它也是機敏檔案,必須要被特別保護。
如果您是手動產製這把金鑰並且有設定密碼的話,那洋蔥路由就能夠幫您把它加密保護。
- 還會有一把中程的簽署金鑰名為「ed25519_signing_secret_key」,是專門產製給洋蔥路由使用的。
並且,還會產製出一份以主身份金鑰簽署的憑證,檔名為「ed25519_signing_cert」,並確認該中程簽署金鑰在特定的時間裡是有效的。
預設的效期是30天,但這可由torrc設定檔裡的「SigningKeyLifetime N days|weeks|months」項目來變更。
- 並且還會有一把主公開金鑰名為「ed25519_master_id_public_key」,它是中繼節點在網路上的身份識別。
這把金鑰就不具有機敏性了,它可以從「ed5519_master_id_secret_key」直接運算生成。
若金鑰仍有效的話,洋蔥路由只會需要存取中程簽署金鑰以及憑證檔而已,所以主身份金鑰不需要存放在主機的DataDirectory/keys目錄中,可將它置於另一臺電腦或儲存媒體裡保存。
在中程簽署金鑰以及憑證的效期結束前,您必須要去手動更新,否則的話該臺中繼節點上的洋蔥路由程式會自動關閉。
然而,這個功能是選擇性的,除非您想要,不然的話可以不使用。
如果您想要讓中繼節點可以長時間自主運行,不希望時常要手動去更新中程簽署金鑰的話,可以把主身份金鑰置於DataDirectory/keys裡,但請記得也要另外備份,以免需要重新安裝軟體時可用。
如果您想要啟用這項功能的話,請參閱我們關於此主題的詳細指南。