web-dev-qa-db-ja.com

YubiKeyユーザーとしての鍵の署名/認証

ユビキーをほぼ1年間毎日使用した後、友達のキーを認証する方法を学ぶときがきたと思いました。

マスターキーを使用してのみキーに署名できます キーに署名するたびにその秘密キーを自分のコンピューターにインポートする必要があることを意味するので、私は驚きましたyubikeyのサブキースマートカード機能を使用する場合と比較して、大きなセキュリティリスクになります。

マスターキーが通常(エアギャップ)コールドストレージにあるときに、キーに安全に署名するための最良の方法は何ですか?

サブキーでキーを認証することは可能ですか?
方法はわかりませんが、先月これを行ったと思います(デスクトップに署名済みのキーがあり、先月生成したものの、1年以上マスターキーに触れていません)。上記にリンクされているSEの質問は、私自身に質問をさせています。

確認のために、これが私のセットアップの概要です。これはかなり標準的なものだと思います。

  • コールドストレージのマスター(プライベート)キー(暗号化)
  • yubikeyは、プライベート(サブ)キーへの直接アクセスを許可せずに、簡単なgpg操作を可能にします

ほぼ毎月署名する予定ですが、私は利便性を好みますが、私にとってはセキュリティがより重要です。

ここに私が持っているいくつかのアイデアがあります:

  • raspberry Pi(または類似のもの)をキー署名専用にします
  • 低レベルのPGP設定をいじくり回して、certify機能を持つサブキーを取得しようとします
  • キーの認証専用の別のpgpキーセットを生成し、既存のマスターキーでそのキーに署名します。私はすでに2つのマスターキー(それぞれ異なるユビキー用)を持っているので、3番目は少し面倒かもしれません
  • 2つのマスターキーのうち弱い方(2048ビット)を使用してキーを認証し、暗号化したままコンピューターに保存します
6
user196499

まず第一に、GnuPGの「サブキー」は、機能が割り当てられた完全に独立したキーのセットにすぎないことを理解することが重要だと思います。認証キーは、署名キーと同じくらいのサブキーです。特別に特別なものは何もありません。私たちはこれを慣例で「マスター」キーと呼ぶだけであり、しばしば混乱を招きます(たとえば、現実の世界では「マスター」キーはすべてのロックを解除できるため、多くのユーザーはGnuPGの「マスター」キーが可能であることを期待しています「E」サブキーに暗号化されたメッセージを復号化します)。証明書(C)キーは、身元と自分に属する他のキーとの関係を示すことができるもう1つのキーです。これを理解することで、次の質問への答えが「 'C'サブキーを使用してすでに実行している」となる理由をよりよく理解できます。

サブキーでキーを認証することは可能ですか?

では、「C」サブキーをスマートカードに挿入できますか?はい、2.1以降のバージョンのGnuPGを使用すると、Cキーをスマートカードの「S」スロットに簡単に挿入できるようになると思います。いくつかの追加の調整により、 複数のスマートカードにキーを設定する を行うこともできますが、奇妙な動作でコーナーケースに遭遇する可能性があります。

キーを認証するための専用のネットワーク外システムを用意することは一般的な習慣ですが、設定の問題を経験する人はほとんどいません。あなたが言及するすべてのメカニズムはその目的に適しています。私はあなたにあなたに最も適したものを選択させます。

2
mricon