Сторона подписи ключей GPG w. отдельный мастер-ключ и субключи на юбикей

Question

Сторона подписи ключей GPG w. отдельный мастер-ключ и субключи на юбикей

Моя текущая настройка выглядит следующим образом:

sec#  rsa4096/E97E8047 2016-07-18 [C]
uid         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb>  rsa2048/65F03C8F 2016-07-18 [S]
ssb>  rsa2048/3DC1E49C 2016-07-18 [E]
ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]

Короче:

Мастер-ключ w. возможность сертификации, хранящаяся на USB-накопителе (доступ только из сеансов livecd без интернета)
3 подключа с возможностями аутентификации, подписи и шифрования, хранящиеся на yubikey, всегда прикрепленные или в моем брелоке для ключей.

Насколько я понимаю, я не могу подписать другие ключи GPG без моего мастер-ключа. Итак, как мне посетить вечеринку по подписи ключей GPG? Не путешествуя с моим драгоценным мастер-ключом?

Какие возможные меры я могу сделать, чтобы защитить свой мастер-ключ?

Я попытался переместить его на yubikey, но это не удалось (потому что у него нет возможности S, E или A. Я пропустил трюк?
Есть ли другие устройства, которые я мог бы использовать?
Могу ли я разместить свой мастер-ключ на HSM, подключенном к серверу, и подключиться к нему через SSH, аутентифицируемый подразделом на моем yubikey, а затем удаленно подписывать ключи? Если да, какое оборудование может содержать мастер-ключ GPG?

Пока что мой единственный вариант - взять с собой мастер-ключ на USB-ключ и загрузить livecd при посещении вечеринки по подписи ключей.

Примечание: удобство важно. Неудобные процедуры представляют значительный риск для безопасности, из-за плохого соблюдения с моей стороны:)

5

smartcard gnupg yubico gpg-agent

Источник

user68333 26 июн '17 в 03:31

1 ответ

Другие вопросы по тегам smartcard gnupg yubico gpg-agent

user8902753 07 ноя '17 в 22:08 2017-11-07 22:08 · Answer 1 · 2017-11-07 22:08

Вы обычно получаете копию всех ключей на стороне подписи ключей после события, - это будет pubring.gpg или же pubring.kbx доступны онлайн или по электронной почте каждому участнику после крайнего срока регистрации или после мероприятия.

Во время мероприятия:

Вы не приносите ключи PGP.
Просто ваш паспорт или другая форма для идентификации.
При желании лист бумаги с вашим собственным UID/ адресом электронной почты и отпечатком ключа, чтобы убедиться, что другие проверяют ваш действительный ключ, а не кто-то другой.
(Наличие электронной почты и отпечатков пальцев PGP на визитных карточках отлично подходит для этой цели)

Таким образом, вы подписываете ключи, когда возвращаетесь домой, где вы находитесь в защищенной среде, и отправляете их по почте по UID, которые вы подтвердили во время вечеринки (в зашифрованном виде).

Есть инструменты для автоматизации процесса подписания после вечеринки, а также подготовки к и во время вечеринки, для Linux см. pius 1 и signing-party 2

Большинство моих мастер-ключей имеют [SCEA] а также подключи, и я могу переместить мастер-ключ на слот для подписи смарт-карт (оба Yubikey Neo а также Yubikey 4 работает для этого) при использовании подключей для повседневного использования.