GPG / SSH: Nach der Tatsache wird ein Schlüssel zu einem Unterschlüssel

470
Prunus Persica

Ich bin noch neu in GPG, SSH und so weiter und bin mir nicht sicher, was die beste Praxis ist.

Ich habe ein USB-Gerät, das GPG || SSH-Schlüssel generiert und hält, ohne dass das Gerät verlassen wird. Es ermöglicht auch das Signieren mit Ausgabe auf dem lokalen Computer.

Ich möchte, dass ein Schlüssel auf diesem Gerät mein Hauptschlüssel Mist, es ist jedoch unpraktisch, dieses Gerät für den täglichen Gebrauch zu verwenden. Daher möchte ich einen anderen Schlüssel haben A, der mit dem Hauptschlüssel signiert ist, den ich lokal behalten und für normale Aufgaben verwenden kann. (möglicherweise mit einem Yubikey zum Sperren à la ).

Gibt es eine Standardmethode, auf der ich einen neuen Schlüssel Aauf meinem lokalen Computer generieren und ihn dann als einen Unterschlüssel von signieren kann, da die auf "normale Weise" generierten Unterschlüssel das Gerät immer noch nicht verlassen M.

BEARBEITEN

Zur Verdeutlichung ist das fragliche Gerät kein Yubikey und es können keine Schlüssel übertragen werden. Die Funktion ähnelt eher einem Trezor, bei dem Schlüssel nur auf dem Gerät generiert werden können und nicht in dieses hinein oder aus diesem kopiert werden können.

Die Yubikey-Methode ist eine gute Methode. Ich denke jedoch, dass sie anfällig ist, wenn der Yubikey gestohlen wird. Das Trezor-ähnliche Gerät verfügt über zusätzliche Authentifizierungsebenen auf dem Gerät, sodass auch gestohlene Geräte nicht verwendet werden können. Nur 5-Euro-Schlüsselangriffe!

EDIT2 (obwohl ich denke, es gibt auch implizites Vertrauen in Gerätehersteller)

3
Ich bin auch daran interessiert, etwas Ähnliches zu tun (ich möchte, dass ein Yubikey mein physischer Hauptschlüssel ist, aber für die meisten Dinge widerrufbare Unterschlüssel verwenden). Kopfgeld hinzufügen! ELLIOTTCABLE vor 6 Jahren 0
Siehe [Übertragen von Schlüsseln an YubiKey-Hardware] (https://github.com/drduh/YubiKey-Guide#transfer-keys), wenn das Problem dadurch gelöst wird. harrymc vor 6 Jahren 0

1 Antwort auf die Frage

2
harrymc

Eine hervorragende Ressource für die Verwendung von YubiKey ist der YubiKey Guide, der sich selbst wie folgt beschreibt:

Dies ist eine praktische Anleitung zur Verwendung von YubiKey als SmartCard zum Speichern der GPG-Verschlüsselung und zum Signieren von Schlüsseln.

Ein Authentifizierungsschlüssel kann auch für SSH erstellt und mit gpg-agent verwendet werden.

Schlüssel, die auf einer Smartcard wie YubiKey gespeichert sind, scheinen schwieriger zu stehlen als die auf der Festplatte gespeicherten Schlüssel und sind für den täglichen Gebrauch geeignet.

Anweisungen für Debian GNU / Linux 8 (Jessie) mit YubiKey 4 - mit Unterstützung für 4096-Bit-RSA-Schlüssel - im OTP + CCID-Modus, aktualisiert auf GPG-Version 2.2.1. Einige Hinweise sind auch für macOS enthalten.

Der hier interessierende Abschnitt ist der von Übergabeschlüsseln, der diese Warnung enthält:

Die Schlüsselübergabe an die YubiKey-Hardware erfolgt nur in eine Richtung. Stellen Sie daher sicher, dass Sie ein Backup erstellt haben, bevor Sie fortfahren.

Das Verfahren ist:

  • Listen Sie die Schlüssel auf

    gpg --edit-key $KEYID

  • Wählen Sie den Signaturschlüssel aus, und verschieben Sie ihn

    key 1 keytocard

  • Deaktivieren, wählen und verschieben Sie den Verschlüsselungsschlüssel

    key 1 key 2 keytocard

  • Deaktivieren, wählen und verschieben Sie den Authentifizierungsschlüssel

    key 2 key 3 keytocard

  • Überprüfe deine Arbeit

    gpg --list-secret-keys

  • Öffentlichen Schlüssel exportieren

    gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt

  • Optional kann es auf einen öffentlichen Keyserver hochgeladen werden

     gpg --send-key $KEYID

Weitere Informationen finden Sie im Artikel.

Dies ist eine ausgezeichnete Antwort, und ich werde versuchen, es in den nächsten Wochen zu verfolgen (wenn es mein Zeitplan zulässt). Ich kann es jedoch nicht als Antwort akzeptieren, da das Gerät, auf das ich mich beziehe, kein Yubikey ist und keine Schlüssel übertragen werden kann. Es ähnelt in seiner Funktion eher einem [https://blog.trezor.io/trezor-firmware-1-3-6-20a7df6e692 ((rez)). Die Yubikey-Methode ist eine gute Methode. Ich denke jedoch, dass sie anfällig ist, wenn der Yubikey gestohlen wird. Das Trezor-ähnliche Gerät verfügt über zusätzliche Authentifizierungsebenen auf dem Gerät, sodass auch gestohlene Geräte nicht verwendet werden können. Nur 5-Euro-Schlüsselangriffe! Prunus Persica vor 6 Jahren 0
@PrunusPersica: Es gibt ein Problem, da ELLIOTTCABLE einen Bonus speziell für den YubiKey gepostet hat. Aber ich denke, dass dieses Verfahren auch für andere Schlüssel funktionieren kann. harrymc vor 6 Jahren 0
Ja, für einige Smartcard-Systeme. Der eine in der Frage hat jedoch nicht die "keytocard" -Operation, wie ich sie verstehe Prunus Persica vor 5 Jahren 0
Ohne zu wissen, was es ist, kann ich nicht helfen. harrymc vor 5 Jahren 0
Eine Hardware-Geldbörse, die über https://github.com/romanz/trezor-agent verfügbar gemacht wird Prunus Persica vor 5 Jahren 0
Ich glaube nicht, dass du das kannst. Bei Trezor werden alle Schlüssel anhand ihrer Startphrase generiert. Sie können keine anderen Schlüssel importieren, da sie nicht von diesem Seed generiert werden können. harrymc vor 5 Jahren 0
Ja, die Frage bestätigt dies. In Anbetracht dessen, dass der Hauptschlüssel das Gerät niemals verlässt, ist es möglich, auf dem Host-PC Unterschlüssel zu erstellen, indem Sie einfach die Möglichkeit verwenden, mit dem Hauptschlüssel zu signieren Prunus Persica vor 5 Jahren 0
Trezor-Agent soll Ihnen das ermöglichen - [link] (https://bitcoin.stackexchange.com/questions/46145/how-do-i-use-the-new-gpg-signing-feature-with- mein trezor). Wenn Sie Probleme damit haben, fügen Sie dies Ihrem Post hinzu. harrymc vor 5 Jahren 0
@ELLIOTTCABLE: Könnten Sie bitte diese Antwort kommentieren? harrymc vor 5 Jahren 0
Ich stimme zu, ich glaube, Sie haben die Frage RE Yubikey von ELLIOTTCABLE beantwortet, nicht jedoch meine Unterschlüssel RE. Ich habe Trezor-Agent verwendet, und es bietet nur eine Schnittstelle zu gnupg. Daher meine Frage Prunus Persica vor 5 Jahren 0
Sie können Ihre Frage vielleicht für [Trezor-Agent] (https://github.com/romanz/trezor-agent/issues) posten. Der Entwickler ist reaktiv. Soweit ich weiß, können Sie einer vorhandenen GPG-Identität nur einen Trezor-basierten GPG-Schlüssel hinzufügen. harrymc vor 5 Jahren 0
Hoppla! Sieht aus, als hätte ich versehentlich Ihren Beitrag entführt! Vielen Dank für die Antworten, trotzdem… ELLIOTTCABLE vor 5 Jahren 0

Verwandte Probleme