GnuPG + Yubikey 4: Come controllare manualmente che tutte le chiavi siano al loro posto (solo su Yubikey)?

9

Ho creato una chiave master GnuPG RSA e sottochiavi RSA 3x (firma, crittografa, autenticati).

Ovviamente voglio che tutto il materiale chiave sia memorizzato solo su Yubikey 4 - poiché sono solo le mie 3 sottochiavi. Poiché utilizzo la chiave master solo per la certificazione delle sottochiavi, è necessario mantenerla solo offline con i backup delle sottochiavi.

  • Come faccio a verificare che tutte e 3 le sottochiavi e nessuna chiave principale si trovino su Yubikey 4?
  • Come faccio a verificare che nessun materiale chiave sensibile si trovi sul computer?
  • Come posso utilizzare lo stesso Yubikey sulla mia seconda macchina (Linux) - devo importare i certificati su GnuPG / GPA?
  • Ho provato per la prima volta a creare le chiavi con un live-cd come suggerito da varie fonti, ma in Windows Kleopatra non mi permettevo di usare il mio Yubikey. Quindi ho usato Windows per creare le chiavi e ha funzionato - ora sono preoccupato che le chiavi segrete siano sul disco fisso da qualche parte. lol Se qualcuno può indicarmi la giusta direzione su come farlo funzionare con la creazione di chiavi su live-cd e usando il normale sistema, sarebbe fantastico.

Sto usando 2 computer con lo stesso Yubikey:

  • Windows 7 - Kleopatra e GnuPG
  • Ubuntu 15.04 - GPA e GnuPG
posta user3200534 03.01.2016 - 18:47
fonte

1 risposta

6

Se metti le sottochiavi su YubiKey, dovresti comunque mantenere la chiave privata primaria da qualche parte - è l'unica entità che può essere usata per revocare le chiavi, creare nuove sottochiavi, modificare gli ID utente, certificare le chiavi degli altri, ...

  • How do I check that all 3 subkeys and no master-key is on the Yubikey 4?
  • How do I check that no sensitive key-material is on the Computer?

Per verificare cosa c'è sulla scheda, esegui gpg --card-status , che dovrebbe stampare diverse righe di informazioni tra cui tre chiamate "Chiave firma", "Chiave crittografia" e "Chiave di autenticazione". Questi dovrebbero stampare le impronte digitali della tua sottochiave, non l'impronta digitale della tua chiave primaria. Non preoccuparti delle "Informazioni generali sulla chiave", che sono un riferimento alla tua chiave primaria (pubblica) e non memorizzate sulla carta.

Per verificare che le chiavi non siano memorizzate sul tuo computer, esegui gpg --list-secret-keys . Le chiavi segrete archiviate sul tuo computer sono contrassegnate con sec o ssb per le sottochiavi, le chiavi segrete non disponibili (ad esempio, quando le tue sottochiavi segrete esportate che eseguono gpg --export-secret-subkeys sono contrassegnate con sec# , gli stub di chiave segreta sono disponibili solo su una smart card OpenPGP (come implementa anche YubiKey) con ssb> . Gli stub delle chiavi sono semplici riferimenti che una chiave non è disponibile o è memorizzata su una smartcard e non includono la chiave privata effettiva.

  • How can I use the same Yubikey on my 2nd machine (Linux) - do I have to import any certificates to GnuPG/GPA there?

Per utilizzare i tasti su un altro computer, è necessario esportare "stub di sottochiavi segreti" su questa macchina, che è possibile eseguire con gpg --export-secret-subkeys [key-id] (elencando l'ID della chiave primaria). Dopo l'importazione sul tuo nuovo computer, non dovresti visualizzare sec o ssb , ma solo sec# per lo stub della chiave privata primaria e ssb> per gli stub delle chiavi di sottochiave.

  • I first tried to create the keys with a live-cd as suggested from various sources, but back in Windows Kleopatra didn't let me use my Yubikey. So I used Windows to create the keys and it worked - now I'm worried that secret-keys are on the harddrive somewhere. lol If someone can point me to the right direction how to get it working with key-creation on live-cd and using on normal system, would be awesome.

Si legge che non hai eseguito --export-secret-subkeys come descritto sopra, quindi l'installazione di GnuPG nella configurazione "regolare" non era a conoscenza delle chiavi private. Le chiavi pubbliche non sono memorizzate sulla carta, comunque.

Quando utilizzi un CD live, assicurati di creare una copia persistente della chiave master primaria memorizzata in un luogo sicuro (ne avrai ancora bisogno!) e inoltre un certificato di revoca facilmente accessibile per te nel caso in cui sia necessario revocare l'intera chiave e ha perso l'accesso alla chiave privata primaria.

    
risposta data 03.01.2016 - 19:48
fonte

Leggi altre domande sui tag