Eine hervorragende Ressource für die Verwendung von YubiKey ist der YubiKey Guide, der sich selbst wie folgt beschreibt:
Dies ist eine praktische Anleitung zur Verwendung von YubiKey als SmartCard zum Speichern der GPG-Verschlüsselung und zum Signieren von Schlüsseln.
Ein Authentifizierungsschlüssel kann auch für SSH erstellt und mit gpg-agent verwendet werden.
Schlüssel, die auf einer Smartcard wie YubiKey gespeichert sind, scheinen schwieriger zu stehlen als die auf der Festplatte gespeicherten Schlüssel und sind für den täglichen Gebrauch geeignet.
Anweisungen für Debian GNU / Linux 8 (Jessie) mit YubiKey 4 - mit Unterstützung für 4096-Bit-RSA-Schlüssel - im OTP + CCID-Modus, aktualisiert auf GPG-Version 2.2.1. Einige Hinweise sind auch für macOS enthalten.
Der hier interessierende Abschnitt ist der von Übergabeschlüsseln, der diese Warnung enthält:
Die Schlüsselübergabe an die YubiKey-Hardware erfolgt nur in eine Richtung. Stellen Sie daher sicher, dass Sie ein Backup erstellt haben, bevor Sie fortfahren.
Das Verfahren ist:
Listen Sie die Schlüssel auf
gpg --edit-key $KEYID
Wählen Sie den Signaturschlüssel aus, und verschieben Sie ihn
key 1 keytocard
Deaktivieren, wählen und verschieben Sie den Verschlüsselungsschlüssel
key 1 key 2 keytocard
Deaktivieren, wählen und verschieben Sie den Authentifizierungsschlüssel
key 2 key 3 keytocard
Überprüfe deine Arbeit
gpg --list-secret-keys
Öffentlichen Schlüssel exportieren
gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt
Optional kann es auf einen öffentlichen Keyserver hochgeladen werden
gpg --send-key $KEYID
Weitere Informationen finden Sie im Artikel.