3

Я все еще новичок в GPG, SSH и еще много чего, и я не уверен, что такое лучшая практика.

У меня есть USB-устройство, способное генерировать и удерживать ключи GPG || SSH, не выходя из устройства. Это также позволяет подписывать с выводом на локальный компьютер.

Я хотел бы, чтобы ключ на этом устройстве был моим главным ключом M , но неудобно использовать это устройство для ежедневного использования. Поэтому я хотел бы иметь еще один ключ A , подписанный главным ключом, который я могу хранить локально и использовать для обычных задач. (возможно, используя Yubikey, чтобы заблокировать его а-ля).

Поскольку подключи, сгенерированные, как мне кажется, "обычным способом", все равно не покинут устройство, существует ли стандартный способ, которым я могу сгенерировать новый ключ на A на моей локальной машине и затем подписать его как подраздел M?

РЕДАКТИРОВАТЬ

Для пояснения, рассматриваемое устройство не является Yubikey и не может передавать ключи на него. По функциям он больше похож на Trezor, где ключи могут быть сгенерированы только на устройстве и не могут быть скопированы в него или из него.

Метод Юбики хороший, но я думаю, что он уязвим, если Юбики украден. У Trezor-подобного есть дополнительные уровни аутентификации на устройстве, поэтому, даже если украденный не может быть использован. Атака всего за $ 5!

РЕДАКТИРОВАТЬ 2 (хотя я думаю, что есть также неявное доверие к производителям устройств)

|источник

1 ответ1

2

Отличным ресурсом для использования YubiKey является Руководство YubiKey, которое описывает себя как:

Это практическое руководство по использованию YubiKey в качестве смарт-карты для хранения ключей шифрования и подписи GPG.

Ключ аутентификации также может быть создан для SSH и использован с gpg-agent.

Ключи, хранящиеся на смарт-карте, такой как YubiKey, кажутся более сложными для кражи, чем ключи, хранящиеся на диске, и удобны для повседневного использования.

Инструкции, написанные для Debian GNU/Linux 8 (jessie) с использованием YubiKey 4 - с поддержкой 4096-битных ключей RSA - в режиме OTP+CCID, обновлены до версии 2.2.1 GPG. Некоторые примечания также включены для macOS.

Здесь интерес представляет раздел ключей передачи, содержащий это предупреждение:

Перенос ключей на оборудование YubiKey является односторонней операцией, поэтому перед продолжением убедитесь, что вы сделали резервную копию.

Процедура такова:

  • Перечислите ключи

    gpg --edit-key $KEYID

  • Выберите и переместите ключ подписи

    key 1
keytocard

  • Отмените выбор, выберите и переместите ключ шифрования

    key 1
key 2
keytocard

  • Отмените выбор, выберите и переместите ключ аутентификации

    key 2
key 3
keytocard

  • Проверь свою работу

    gpg --list-secret-keys

  • Экспортировать открытый ключ

    gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt

  • При желании он может быть загружен на публичный сервер ключей.

      gpg --send-key $KEYID

Более подробную информацию можно найти в статье.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .