Yubikey PGPの移行

重要な質問は、PGP鍵とサブ鍵をどのように生成したかです。

docs で説明されているように、2つの方法があります。

• YubiKeyから外部でキーを生成する（推奨）
• YubiKeyで直接PGPキーを生成する

最初のアプローチが推奨されます。 Tailsなどのライブディストリビューションを使用して、エアギャップ（ネットワークなし）コンピューターでキーを生成できます。次に、USBキーやハードドライブなどのリムーバブルストレージにキーのバックアップを作成し、安全な場所に保管します。

もう1つのオプションは、デバイスで直接キーを生成することです。これは非常に安全ですが、主な欠点はキーをバックアップできないことです。デバイスを紛失または破壊すると、キーが失われます。このアプローチでは、移行はできません。このオプションは、キーの保存期間が限られていることがわかっている場合を除き、避けてください。

したがって、オプション＃1を選択した場合、それは非常に簡単です。古いYubiKeyは必要ありません。ライブディストリビューションを開始し、外部ストレージから秘密鍵を再インポートして、keytocardコマンドを使用して新しいYubiKeyに書き込みます。

質問に答えるには：メールへのアクセスを保持するには、現在のキー（およびサブキー）を保持する必要があります。ただし、ハードウェア自体は同じである必要はありません。外部バックアップがある限り、別のYubiKeyまたはスマートカードでもかまいません。

PGPキーを本当に変更する必要がある場合：理論的には、ファイルを復号化して新しいキーで再暗号化することができますが、電子メールではこれは複雑です。それらはおそらくmboxまたはpstファイルに格納されます。スタンドアロンファイルとして（たとえばIMAPサーバー上で）使用できる場合でも、暗号化されるのはファイル全体ではなく、メール本文です。ヘッダーはまだ明確です。 AFAIK PGPは、ファイルの残りの部分をそのままにしながら、暗号化された部分を単に復号化することはできません。私が恐れている簡単な解決策はありません。

しかし、Thunderbirdでテストを行いました。暗号化されたメッセージを選択し、メッセージソース全体（Ctrl-U）を選択して、ファイルにコピーしました。次に、gpg -d <the file>コマンドラインから、パスフレーズを入力した後にメールを読むことができました。しかし、ヘッダーなどはありません。入手できるのは、簡略化されたバージョンです。これは、たとえばmboxファイルに再注入できるものではありません。