Utilizza le sottochiavi specifiche senza chiave master su dispositivi diversi utilizzando GPG

3

Sulla mia macchina principale uso una chiave gpg specifica (ovviamente). Io uso l'archivio password pass unix per gestire le mie password che vengono crittografate usando questa chiave. Il negozio è trasferito in un repository git. Ora sul mio dispositivo Android utilizzo Memorizza password e OpenKeyChain per utilizzare le mie password.

Quello che vorrei fare è importare solo le sottochiavi nel mio dispositivo Android senza la chiave master in modo che quando il dispositivo viene perso o rubato non ho bisogno di revocare la chiave principale e tutte le sottochiavi associate.

Questo è effettivamente possibile e se sì come sarebbe la procedura?

    
posta Cutú Chiqueño 13.09.2016 - 16:45
fonte

1 risposta

1

pass e password android store usa il comando gpg dietro le quinte, il che significa che una pura soluzione GnuPG è abbastanza buona, cioè puoi usare il comando gpg ed entrambi i programmi proveranno semplicemente i tasti.

Tuttavia, al apri il portachiavi ho difficoltà a scoprire se è possibile importare solo le sottochiavi. Devo sostenere che la loro documentazione github (e codice) è piuttosto scarsa ma, credo, che ui.adapte.ImportKeyAdapter.java può importare un'esportazione GnuPG (dovrai provarlo, non ho un telefono Android ).

Ora presumo che tu crei sottochiavi da (o equivalente):

$ gpg --edit-key <your key>
gpg> addkey

Ad esempio, ho un paio di sottochiavi:

$ gpg -K 040E2771C840C4F6
sec   2048R/040E2771C840C4F6 2014-08-21
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
ssb   2048R/C82957C790BA249B 2014-08-21
ssb   2048R/714F28317A0ACBDA 2015-02-15
ssb   2048R/780D6F342D47A4E2 2016-02-15
ssb   2048R/144EA814AC84FD73 2016-02-15

Quando eseguo un'esportazione di sottochiavi solo:

gpg -a -o subkeys --export-secret-subkeys 040E2771C840C4F6

Posso quindi copiare subkeys su un'altra macchina e importarla:

gpg --import subkeys

Quando elenco la mia chiave su questa macchina mostra un # accanto alla chiave principale. È il modo in cui GnuPG ti dice che la chiave segreta non è realmente lì.

$ gpg -K 040E2771C840C4F6
sec#  2048R/040E2771C840C4F6 2014-08-21
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
ssb   2048R/C82957C790BA249B 2014-08-21 [expires: 2016-02-15]
ssb   2048R/714F28317A0ACBDA 2015-02-15 [expires: 2016-02-15]
ssb   2048R/780D6F342D47A4E2 2016-02-15 [expires: 2019-02-14]
ssb   2048R/144EA814AC84FD73 2016-02-15 [expires: 2019-02-14]

La lettura extra è la pagina di Debian sulle sottochiavi , descrive il processo in modo molto più dettagliato. Tuttavia, quella pagina sostiene che è possibile esportare tutte le chiavi segrete, copiare il file e quindi eliminare la chiave master sul dispositivo stesso. Questo è possibile, ma lo sconsiderò. Un telefono spesso implementa lo storage in modo simile alla tecnologia a stato solido, che rende il file con la tua chiave master recuperabile a un aggressore determinato.

    
risposta data 14.09.2016 - 03:40
fonte

Leggi altre domande sui tag