ユビキーをほぼ1年間毎日使用した後、友達のキーを認証する方法を学ぶときがきたと思いました。
マスターキーを使用してのみキーに署名できます キーに署名するたびにその秘密キーを自分のコンピューターにインポートする必要があることを意味するので、私は驚きましたyubikeyのサブキースマートカード機能を使用する場合と比較して、大きなセキュリティリスクになります。
マスターキーが通常(エアギャップ)コールドストレージにあるときに、キーに安全に署名するための最良の方法は何ですか?
サブキーでキーを認証することは可能ですか?
方法はわかりませんが、先月これを行ったと思います(デスクトップに署名済みのキーがあり、先月生成したものの、1年以上マスターキーに触れていません)。上記にリンクされているSEの質問は、私自身に質問をさせています。
確認のために、これが私のセットアップの概要です。これはかなり標準的なものだと思います。
ほぼ毎月署名する予定ですが、私は利便性を好みますが、私にとってはセキュリティがより重要です。
ここに私が持っているいくつかのアイデアがあります:
certify
機能を持つサブキーを取得しようとしますまず第一に、GnuPGの「サブキー」は、機能が割り当てられた完全に独立したキーのセットにすぎないことを理解することが重要だと思います。認証キーは、署名キーと同じくらいのサブキーです。特別に特別なものは何もありません。私たちはこれを慣例で「マスター」キーと呼ぶだけであり、しばしば混乱を招きます(たとえば、現実の世界では「マスター」キーはすべてのロックを解除できるため、多くのユーザーはGnuPGの「マスター」キーが可能であることを期待しています「E」サブキーに暗号化されたメッセージを復号化します)。証明書(C)キーは、身元と自分に属する他のキーとの関係を示すことができるもう1つのキーです。これを理解することで、次の質問への答えが「 'C'サブキーを使用してすでに実行している」となる理由をよりよく理解できます。
サブキーでキーを認証することは可能ですか?
では、「C」サブキーをスマートカードに挿入できますか?はい、2.1以降のバージョンのGnuPGを使用すると、Cキーをスマートカードの「S」スロットに簡単に挿入できるようになると思います。いくつかの追加の調整により、 複数のスマートカードにキーを設定する を行うこともできますが、奇妙な動作でコーナーケースに遭遇する可能性があります。
キーを認証するための専用のネットワーク外システムを用意することは一般的な習慣ですが、設定の問題を経験する人はほとんどいません。あなたが言及するすべてのメカニズムはその目的に適しています。私はあなたにあなたに最も適したものを選択させます。