Firma / certifica chiavi come utente YubiKey

3

Dopo aver usato un yubikey su base giornaliera per quasi un anno, ho deciso che era giunto il momento di imparare a certificare le chiavi dei miei amici.

Mi ha sorpreso sapere che si possono firmare solo le chiavi usando la loro chiave principale poiché significherebbe che io dovrei importare la suddetta chiave privata sul mio computer ogni volta che voglio firmare una chiave, che sembra essere un grande rischio per la sicurezza rispetto all'uso delle caratteristiche di smartcard di una sottochiave di yubikey.

Qual è il modo migliore per firmare in modo sicuro le chiavi quando la chiave principale è in genere in un ambiente freddo (con aria compressa)?

È possibile certificare le chiavi con una sottochiave?
Non so come, ma credo di averlo fatto lo scorso mese (ho la chiave firmata sul mio desktop, generata il mese scorso ma non ho toccato la mia chiave principale in oltre un anno), anche se la domanda di SE collegata sopra è facendomi dubitare.

Solo per una recensione, ecco una panoramica della mia configurazione, che presumo sia piuttosto standard:

  • chiave master (privata) in cold storage (crittografata)
  • yubikey consente facili operazioni gpg pur non consentendo l'accesso diretto ai tasti (sub) privati

Ho intenzione di firmare su base mensile e mentre preferisco la comodità, per me la sicurezza è più importante.

Ecco alcune idee che ho:

  • dedica un raspberry pi (o qualcosa di simile) alla firma della chiave
  • tinker con impostazioni PGP di basso livello per provare a ottenere una sottochiave con l'abilità certify
  • genera un altro keyset pgp appositamente per certificare le chiavi e firmare quella chiave con le mie chiavi master esistenti. Ho già due chiavi principali (ognuna per un diverso yubikey) quindi una terza potrebbe essere un po 'fastidiosa
  • usa il più debole (2048 bit) delle mie due chiavi principali per certificare le chiavi, mantenendolo crittografato ma sul mio computer
posta user196499 21.04.2018 - 05:16
fonte

1 risposta

1

Penso che sia innanzitutto importante capire che in GnuPG le "sottochiavi" sono solo insiemi di chiavi completamente indipendenti che hanno capacità assegnate a loro: una chiave di firma è artificialmente limitata per essere solo in grado di fare operazioni di firma. La chiave di certificazione è tanto una sottochiave quanto la chiave di firma: non c'è davvero nulla che lo rende davvero speciale. Lo chiamiamo semplicemente "master" per convenzione e spesso confondiamo le persone (ad es. Nel mondo fisico una chiave "master" è in grado di sbloccare tutti i blocchi, quindi molti utenti si aspettano che la loro chiave "master" di GnuPG sia in grado di per decodificare i messaggi crittografati nella sottochiave "E"). La chiave di certificazione (C) è solo un'altra chiave che può indicare la relazione tra le tue identità e le altre chiavi che ti appartengono. Comprensione che ti consente di capire meglio perché la risposta alla seguente domanda è "lo fai già, con la tua sottochiave" C ":

Is it possible to certify keys with a subkey?

Quindi, puoi mettere la tua sottochiave "C" sulla smartcard? Sì, credo che le versioni 2.1+ di GnuPG rendano abbastanza facile inserire la tua chiave C nello slot "S" della smartcard. Con alcuni ritocchi aggiuntivi, puoi anche avere le tue chiavi su più smartcard , anche se puoi imbatterti in casi d'angolo con comportamenti strani.

Avere un sistema dedicato fuori dalla rete per certificare le chiavi è una pratica comune, anche se poche persone hanno difficoltà a configurarlo. Tutti i meccanismi che hai menzionato vanno bene per questo scopo e ti permetterò di scegliere quello che fa per te.

    
risposta data 22.04.2018 - 03:52
fonte

Leggi altre domande sui tag