現在、PGPサブキーが含まれているYubikey 4を使用しています。私のメインキーはクレオパトラ内に保存されています。
新しいYubikey 5への移行を計画しているので、新しいYubikey用に生成された新しいサブキーのペアで電子メールを解読できるかどうか自分に尋ねました。
重要な質問は、PGP鍵とサブ鍵をどのように生成したかです。
docs で説明されているように、2つの方法があります。
最初のアプローチが推奨されます。 Tailsなどのライブディストリビューションを使用して、エアギャップ(ネットワークなし)コンピューターでキーを生成できます。次に、USBキーやハードドライブなどのリムーバブルストレージにキーのバックアップを作成し、安全な場所に保管します。
もう1つのオプションは、デバイスで直接キーを生成することです。これは非常に安全ですが、主な欠点はキーをバックアップできないことです。デバイスを紛失または破壊すると、キーが失われます。このアプローチでは、移行はできません。このオプションは、キーの保存期間が限られていることがわかっている場合を除き、避けてください。
したがって、オプション#1を選択した場合、それは非常に簡単です。古いYubiKeyは必要ありません。ライブディストリビューションを開始し、外部ストレージから秘密鍵を再インポートして、keytocard
コマンドを使用して新しいYubiKeyに書き込みます。
質問に答えるには:メールへのアクセスを保持するには、現在のキー(およびサブキー)を保持する必要があります。ただし、ハードウェア自体は同じである必要はありません。外部バックアップがある限り、別のYubiKeyまたはスマートカードでもかまいません。
PGPキーを本当に変更する必要がある場合:理論的には、ファイルを復号化して新しいキーで再暗号化することができますが、電子メールではこれは複雑です。それらはおそらくmboxまたはpstファイルに格納されます。スタンドアロンファイルとして(たとえばIMAPサーバー上で)使用できる場合でも、暗号化されるのはファイル全体ではなく、メール本文です。ヘッダーはまだ明確です。 AFAIK PGPは、ファイルの残りの部分をそのままにしながら、暗号化された部分を単に復号化することはできません。私が恐れている簡単な解決策はありません。
しかし、Thunderbirdでテストを行いました。暗号化されたメッセージを選択し、メッセージソース全体(Ctrl-U)を選択して、ファイルにコピーしました。次に、gpg -d <the file>
コマンドラインから、パスフレーズを入力した後にメールを読むことができました。しかし、ヘッダーなどはありません。入手できるのは、簡略化されたバージョンです。これは、たとえばmboxファイルに再注入できるものではありません。
Yubikeyの外にキーがある場合は、gpg --edit-cardとkeytocardを使用してインポートします。キーがYubikeyでのみ利用可能な場合、それらはエクスポートできません。