Ho letto abbastanza a pochi articoli diversi su come impostare le chiavi PGP con una chiave master offline. Possiedo più smart card YubiKey NEO hardware che intendo utilizzare per PGP e come chiave SSH. Una delle chiavi hardware sarà il mio autista quotidiano, le altre conservate in luoghi sicuri altrove in caso di perdita della chiave. La chiave principale, come consigliato altrove, sarà offline in una posizione sicura, poiché sarà necessario accedervi solo quando sarà necessario revocare le sottochiavi.
Vedo che ci sono tre tipi di chiavi che ho bisogno di mantenere:
- Chiave master offline.
- Solo uno.
- Responsabile della firma e revoca delle sottochiavi.
- Esiste completamente offline in un luogo sicuro.
- Chiave di crittografia condivisa.
- Solo uno.
- Responsabile della crittografia e della decrittografia.
- Esiste simultaneamente su tutte le smart card hardware e offline in un luogo sicuro.
- Chiave di autenticazione condivisa.
- Solo uno.
- Responsabile dell'autenticazione SSH.
- Esiste simultaneamente su tutte le smart card hardware e offline in un luogo sicuro.
- Chiavi di firma.
- Uno per smart card hardware.
- Responsabile della firma delle cose.
- Esiste solo su una singola smart card hardware, non è necessario un backup offline.
Questa è l'idea generale di avere sottochiavi? Poiché utilizzerò principalmente le mie smart card per l'autenticazione SSH e per la crittografia / decrittografia PGP in secondo luogo, questa impostazione ha senso?
Non ho sentito parlare di persone che usano una chiave di crittografia condivisa, è possibile? Per ogni scheda, suppongo che farei qualcosa in cui farei gpg --card-edit e importare la coppia di chiavi di crittografia / decrittografia e quindi generare e importare la nuova coppia di chiavi di firma, firmandola con la chiave master offline. C'è una guida su come fare questo da qualche parte?
Sono nuovo alle sottochiavi e sto ancora cercando di imparare le corde di ciò che è possibile e ciò che sarebbe "il migliore" per la sicurezza.