那些遇到过的问题

GPG密钥签约方w.在yubikey上分离主密钥和子密钥

jon*_*sfj 5 gnupg smartcard yubico gpg-agent

我目前的设置如下:

sec#  rsa4096/E97E8047 2016-07-18 [C]
uid         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb>  rsa2048/65F03C8F 2016-07-18 [S]
ssb>  rsa2048/3DC1E49C 2016-07-18 [E]
ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]
Run Code Online (Sandbox Code Playgroud)

简而言之:

  • 万能钥匙 认证功能,存储在USB驱动器上(只能从没有互联网的livecd会话访问)
  • 3个具有身份验证,签名加密功能的子密钥,存储在yubikey上,始终附加在我的密钥环中.

据我了解,如果没有我的主密钥,我无法签署其他GPG密钥.那么我该如何参加GPG密钥签约方?没有带着我宝贵的万能钥匙旅行?

我可以做些什么来保护我的主密钥?

  • 我尝试将它移动到yubikey,但是失败了(因为它没有S,E或A功能.我错过了一个技巧吗?
  • 我可以使用其他设备吗?
  • 我可以将我的主密钥放在连接到服务器的HSM上,并通过我的yubikey上的子密钥验证的SSH连接到它,然后是远程签名密钥吗?如果是这样,哪些硬件可以容纳GPG主密钥?

到目前为止,我唯一的选择似乎是将主密钥随身携带在USB密钥上,并在参加密钥签名方时启动livecd.

注意:方便很重要.不方便的程序是一个重大的安全风险,由于我的合规性差:)

小智 4

您通常会在活动结束后获得密钥签名方中所有密钥的副本 - 这将在注册截止日期后或活动结束后在线提供或通过电子邮件发送给每个参与者pubring.gpgpubring.kbx

活动期间:

  • 您没有携带任何 PGP 密钥。
  • 只需您的护照或其他身份证明表格。
  • (可选)带有您自己的 UID/电子邮件和密钥指纹的纸,以确保其他人正在验证您的实际密钥而不是其他人。
    (在名片上保留您的电子邮件和 PGP 指纹非常适合此目的)

因此,当您回到家(那里有一个安全的环境)时,您可以对密钥进行签名,然后将它们邮寄到您在聚会期间确认的 UID(以加密形式)。

有一些工具可以自动化聚会后签名过程以及聚会前和聚会期间的准备工作,对于 Linux,请参阅pius1signing-party2

我的大多数主密钥都有[SCEA]子密钥,我可以将主密钥移动到智能卡的签名槽上(两者Yubikey NeoYubikey 4适用),同时使用子密钥进行日常使用。

归档时间:

查看次数:

272 次

最近记录:

7 年,11 月 前
相关归档
gpg:解密失败:没有密钥 14
用于Yubico OpenPGP智能卡的PGP数据加密 12
gpg-agent在gpg2中的用途 8
将 gpg 解密文件写入指定的输出文件 6
Apple Watch是否检测到Apple Watch? 6
C# PCSC-sharp 发送/接收带有数据的自定义命令 5
安全访问模块 (SAM) 有何用途? 4
编码APDU命令以验证PIN时出现问题 2
SCR3310v2.0和SLE5528读/写? 1
如何使用存储在智能卡中的密钥生成CSR 0
难疑归档
数据库索引如何工作? 2335
JavaScript .prototype如何工作? 1988
如何在Python中小写一个字符串? 1908
2048游戏的最佳算法是什么? 1893
如何停止跟踪并忽略Git中文件的更改? 1634
传输安全性阻止了明文HTTP 1425
如何在JavaScript中将十进制转换为十六进制? 1387
如何在Python中通过索引从列表中删除元素? 1381
如何将命令行参数传递给rake任务 1065
#Hibernate hbm2ddl.auto配置的可能值是什么,它们做了什么 1046