Metodi per lavorare con le chiavi primarie offline

1

Ho creato un numero di profili con sottochiavi separate per l'autenticazione, la firma e la crittografia mentre le chiavi primarie vengono salvate su USB Stick. Sta funzionando bene, ma mi chiedevo se ci sono alcuni buoni metodi per collegarsi a una chiave primaria quando è necessario per certificare determinate operazioni, come la firma di un'altra chiave, l'aggiunta di identità ecc.

Ho seguito questo blog , che pensavo sarebbe stato un soluzione. Ho importato le chiavi private in una directory temporanea gpg ~/ram/gpgtmp/ e ho provato a firmare ID2 con ID1 sia in una cartella predefinita ~/.gnupg/puring.kbx .

gpg --homdir ~/ram/gpgtmp --keyring ~/.gnupg/pubring.kbx -u ID1 --edit-key ID2

L'ID2 non è firmato in una cartella gnupg predefinita ma in ~/ram/gpgtmp . L'ho provato quando invocavo il comando gpg --homedir ~/ram/gpgtmp -k . Pertanto non funziona necessariamente.

Sai come portare una chiave primaria offline?

    
posta Celdor 08.05.2018 - 21:38
fonte

1 risposta

0

Ho trovato un modo per collegare una chiave primaria offline. Tuttavia, ispirato a un blog Utilizzo di una chiave master GnuPG offline , I capito che --keyring aggiunge un file a una lista di portachiavi, mentre io avevo bisogno di specificare esattamente un file. Pertanto, l'opzione mancante era --no-default-keyring . Non sono un esperto ma questo è ciò che ha funzionato per me:

1) Montare la chiavetta USB. La cartella avrà qualcosa come /run/media/username/CORSAIR in Linux.

2) Crea directory per un disco ram

mkdir ~/ram

3) Montare il disco ram:

sudo mount -t tmpfs -o size=64M tmpfs ~/ram

4) Crea una directory temporanea per gpg: mkdir ~/ram/gpgtmp .

5) Importa chiavi private da USB a gpg temporaneo, ad es.

gpg --homedir ~/ram/gpgtmp --import /run/media/username/CORSAIR/gpg-archive/primary-keys.asc

Dopo aver importato le chiavi private sul ram disk, la chiavetta USB non è più necessaria.

6) Esegui l'editor GPG:

gpg --homedir ~/ram/gpgtmp/ --keyring ~/.gnupg/pubring.kbx --no-default-keyring -u <ID1> --edit-key <ID2>

7) Nell'editor, usa uid n per scegliere un'identità di interesse, seguita da sign per firmare l'identità selezionata con una chiave locale.

Con una chiave primaria collegata a una cartella gpg temporanea, il comando dovrebbe essere completato con successo. Come nota a margine, dopo il passo 5 una chiavetta USB non è più richiesta e può essere smontata.

EDIT.

In caso di errore:

gpg: key AAAAAAAAAAAAA: error sending to agent: No such file or directory

prova a riavviare gpg-agent

gpgconf --kill gpg-agent
gpgconf --launch gpg-agent

Ho anche eliminato tutto in gpgtmp. Ancora meglio sarebbe ricreare la cartella. Dopo aver riavviato gpg-agent, l'importazione stava funzionando di nuovo. Immagino che anche un semplice sistema di riavvio funzionerebbe.

    
risposta data 09.05.2018 - 00:43
fonte

Leggi altre domande sui tag