GPG / SSH: Gerçekliğin ardından bir anahtarın anahtar haline getirilmesi

Hala GPG, SSH ve ne için yeniyim ve en iyi uygulamanın ne olduğundan emin değilim.

GPG || SSH anahtarlarını cihazdan çıkmadan üretebilen ve tutabilen bir USB aygıtım var. Ayrıca yerel makinedeki çıktıyla imzalamaya izin verir.

Bu cihazdaki bir anahtarın ana anahtarım olmasını isterim M, ancak bu cihazı günlük kullanım için kullanmak uygun değildir. Bu nedenle A, ana anahtarla imzalanmış, yerel olarak tutabileceğim ve normal işler için kullanabileceğim başka bir anahtarın olmasını istiyorum . (muhtemelen à la'yı kilitlemek için bir Yubikey kullanmak ).

“Normal yol” olduğunu düşündüğüm şekilde oluşturulan alt anahtarlar hala cihazdan ayrılmayacağından, Ayerel makinemde yeni bir anahtar oluşturup daha sonra bir alt anahtar olarak imzalayabilmemin standart bir yolu var Mmı?

DÜZENLE

Açıklığa kavuşturmak için, söz konusu cihaz bir Yubikey değildir ve anahtarlara aktarılamaz. İşlev , tuşların yalnızca cihazda oluşturulabildiği ve içine kopyalanamayacağı veya kopyalanamayacağı Trezor gibi bir şeye benzer .

Yubikey yöntemi iyi bir yöntem, ancak Yubikey'nin çalınması durumunda savunmasız olduğunu düşünüyorum. Trezor benzeri bir cihazda ek kimlik doğrulama katmanları vardır, bu yüzden çalınsa bile kullanılamaz. Sadece 5 dolarlık İngiliz anahtarı saldırıları!

EDIT2 (Sanırım cihaz imalatında gizli bir güven de var)

YubiKey'i kullanmak için mükemmel bir kaynak , kendini şöyle tanımlayan YubiKey Rehberi'dir :

Bu, GPH şifreleme ve imzalama anahtarlarını depolamak için YubiKey'i SmartCard olarak kullanmak için pratik bir kılavuzdur.

SSH için bir doğrulama anahtarı da oluşturulabilir ve gpg-agent ile kullanılabilir.

YubiKey gibi bir akıllı kartta depolanan anahtarların, diskte depolananlardan daha çalınması daha kolay görünür ve günlük kullanım için uygundur.

YubiKey 4 kullanarak Debian GNU / Linux 8 (jessie) için yazılmış talimatlar - 4096 bit RSA anahtarlarını destekleyen - OTP + CCID modunda, GPG sürüm 2.2.1'e güncellendi. Bazı notlar macOS için de dahil edilmiştir.

Burada ilgilenilen bölüm , bu uyarıyı içeren Aktarma anahtarlarıdır :

Anahtarları YubiKey donanımına aktarmak yalnızca tek yönlü bir işlemdir, bu nedenle devam etmeden önce bir yedekleme yaptığınızdan emin olun.

Prosedür:

• Anahtarları listele

  gpg --edit-key $KEYID
  

• İmza anahtarını seçin ve taşıyın

  key 1
  keytocard
  

• Şifreleme anahtarının seçimini kaldırın, seçin ve taşıyın

  key 1
  key 2
  keytocard
  

• Kimlik doğrulama anahtarının seçimini kaldırın, seçin ve taşıyın

  key 2
  key 3
  keytocard
  

• İşini kontrol et

  gpg --list-secret-keys
  

• Genel anahtarı ver

  gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt
  

• İsteğe bağlı olarak, bir genel anahtar sunucusuna yüklenebilir

    gpg --send-key $KEYID
  

Makalede daha fazla bilgi bulunabilir.