GPG密钥签约方w。在yubikey上分离主密钥和子密钥

时间:2017-06-26 03:31:18

标签: smartcard gnupg yubico gpg-agent

我目前的设置如下:

sec#  rsa4096/E97E8047 2016-07-18 [C]
uid         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb>  rsa2048/65F03C8F 2016-07-18 [S]
ssb>  rsa2048/3DC1E49C 2016-07-18 [E]
ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]

简而言之:

  • 主钥匙w。 认证功能,存储在USB驱动器上(只能从没有互联网的livecd会话访问)
  • 带有身份验证签名加密功能的3个子密钥,存储在yubikey上,始终附加在我的密钥环中

据我了解,我无法在没有主密钥的情况下签署其他GPG密钥。 那么我该如何参加GPG密钥签约方?没有带着我宝贵的万能钥匙旅行?

我可以做些什么来保护我的主密钥?

  • 我尝试将它移到yubikey,但失败了(因为它没有S,E或A功能。我错过了一个技巧吗?
  • 我还可以使用其他设备吗?
  • 我可以将主密钥放在连接到服务器的HSM上,并通过我的yubikey上的子密钥验证的SSH连接到它,然后是远程签名密钥吗?如果是这样,哪些硬件可以容纳GPG主密钥?

到目前为止,我唯一的选择似乎是将主密钥随身携带在USB密钥上,并在参加密钥签名方时启动livecd。

注意:便利性很重要。由于我的遵守不良,不方便的程序是一个重大的安全风险:)

1 个答案:

答案 0 :(得分:4)

您通常会在活动结束后获得密钥签名方中所有密钥的副本, - 这将是pubring.gpgpubring.kbx在线提供或在注册截止日期后通过电子邮件发送给每位参与者,或事件发生后。

活动期间:

  • 您不带任何PGP密钥。
  • 只需您的护照或其他身份证明。
  • 选择带有您自己的UID /电子邮件和密钥指纹的纸张,以确保其他人正在验证您的实际密钥,而不是其他人。 (在您的名片上使用您的电子邮件和PGP指纹非常适合此目的)

所以当你回到家时,你有一个安全的环境,然后将它们邮寄给你在聚会期间确认的UID(加密形式)。

有一些工具可以自动化聚会后签名过程,以及聚会前和聚会期间的准备工作,对于linux,请参阅pius 1signing-party 2

我的大多数主密钥都有[SCEA]以及子密钥,我可以将主密钥移动到智能卡的签名位置(Yubikey NeoYubikey 4都适用于此)使用子键进行日常使用。

相关问题
最新问题