Dopo aver usato un yubikey su base giornaliera per quasi un anno, ho deciso che era giunto il momento di imparare a certificare le chiavi dei miei amici.
Mi ha sorpreso sapere che si possono firmare solo le chiavi usando la loro chiave principale poiché significherebbe che io dovrei importare la suddetta chiave privata sul mio computer ogni volta che voglio firmare una chiave, che sembra essere un grande rischio per la sicurezza rispetto all'uso delle caratteristiche di smartcard di una sottochiave di yubikey.
Qual è il modo migliore per firmare in modo sicuro le chiavi quando la chiave principale è in genere in un ambiente freddo (con aria compressa)?
È possibile certificare le chiavi con una sottochiave?
Non so come, ma credo di averlo fatto lo scorso mese (ho la chiave firmata sul mio desktop, generata il mese scorso ma non ho toccato la mia chiave principale in oltre un anno), anche se la domanda di SE collegata sopra è facendomi dubitare.
Solo per una recensione, ecco una panoramica della mia configurazione, che presumo sia piuttosto standard:
- chiave master (privata) in cold storage (crittografata)
- yubikey consente facili operazioni gpg pur non consentendo l'accesso diretto ai tasti (sub) privati
Ho intenzione di firmare su base mensile e mentre preferisco la comodità, per me la sicurezza è più importante.
Ecco alcune idee che ho:
- dedica un raspberry pi (o qualcosa di simile) alla firma della chiave
- tinker con impostazioni PGP di basso livello per provare a ottenere una sottochiave con l'abilità
certify
- genera un altro keyset pgp appositamente per certificare le chiavi e firmare quella chiave con le mie chiavi master esistenti. Ho già due chiavi principali (ognuna per un diverso yubikey) quindi una terza potrebbe essere un po 'fastidiosa
- usa il più debole (2048 bit) delle mie due chiavi principali per certificare le chiavi, mantenendolo crittografato ma sul mio computer