Se metti le sottochiavi su YubiKey, dovresti comunque mantenere la chiave privata primaria da qualche parte - è l'unica entità che può essere usata per revocare le chiavi, creare nuove sottochiavi, modificare gli ID utente, certificare le chiavi degli altri, ...
- How do I check that all 3 subkeys and no master-key is on the Yubikey 4?
- How do I check that no sensitive key-material is on the Computer?
Per verificare cosa c'è sulla scheda, esegui gpg --card-status
, che dovrebbe stampare diverse righe di informazioni tra cui tre chiamate "Chiave firma", "Chiave crittografia" e "Chiave di autenticazione". Questi dovrebbero stampare le impronte digitali della tua sottochiave, non l'impronta digitale della tua chiave primaria. Non preoccuparti delle "Informazioni generali sulla chiave", che sono un riferimento alla tua chiave primaria (pubblica) e non memorizzate sulla carta.
Per verificare che le chiavi non siano memorizzate sul tuo computer, esegui gpg --list-secret-keys
. Le chiavi segrete archiviate sul tuo computer sono contrassegnate con sec
o ssb
per le sottochiavi, le chiavi segrete non disponibili (ad esempio, quando le tue sottochiavi segrete esportate che eseguono gpg --export-secret-subkeys
sono contrassegnate con sec#
, gli stub di chiave segreta sono disponibili solo su una smart card OpenPGP (come implementa anche YubiKey) con ssb>
. Gli stub delle chiavi sono semplici riferimenti che una chiave non è disponibile o è memorizzata su una smartcard e non includono la chiave privata effettiva.
- How can I use the same Yubikey on my 2nd machine (Linux) - do I have to import any certificates to GnuPG/GPA there?
Per utilizzare i tasti su un altro computer, è necessario esportare "stub di sottochiavi segreti" su questa macchina, che è possibile eseguire con gpg --export-secret-subkeys [key-id]
(elencando l'ID della chiave primaria). Dopo l'importazione sul tuo nuovo computer, non dovresti visualizzare sec
o ssb
, ma solo sec#
per lo stub della chiave privata primaria e ssb>
per gli stub delle chiavi di sottochiave.
- I first tried to create the keys with a live-cd as suggested from various sources, but back in Windows Kleopatra didn't let me use my Yubikey. So I used Windows to create the keys and it worked - now I'm worried that secret-keys are on the harddrive somewhere. lol If someone can point me to the right direction how to get it working with key-creation on live-cd and using on normal system, would be awesome.
Si legge che non hai eseguito --export-secret-subkeys
come descritto sopra, quindi l'installazione di GnuPG nella configurazione "regolare" non era a conoscenza delle chiavi private. Le chiavi pubbliche non sono memorizzate sulla carta, comunque.
Quando utilizzi un CD live, assicurati di creare una copia persistente della chiave master primaria memorizzata in un luogo sicuro (ne avrai ancora bisogno!) e inoltre un certificato di revoca facilmente accessibile per te nel caso in cui sia necessario revocare l'intera chiave e ha perso l'accesso alla chiave privata primaria.