web-dev-qa-db-ja.com

Yubikey PGPの移行

現在、PGPサブキーが含まれているYubikey 4を使用しています。私のメインキーはクレオパトラ内に保存されています。

新しいYubikey 5への移行を計画しているので、新しいYubikey用に生成された新しいサブキーのペアで電子メールを解読できるかどうか自分に尋ねました。

4
TheAdmin8000

重要な質問は、PGP鍵とサブ鍵をどのように生成したかです。

docs で説明されているように、2つの方法があります。

  • YubiKeyから外部でキーを生成する(推奨)
  • YubiKeyで直接PGPキーを生成する

最初のアプローチが推奨されます。 Tailsなどのライブディストリビューションを使用して、エアギャップ(ネットワークなし)コンピューターでキーを生成できます。次に、USBキーやハードドライブなどのリムーバブルストレージにキーのバックアップを作成し、安全な場所に保管します。

もう1つのオプションは、デバイスで直接キーを生成することです。これは非常に安全ですが、主な欠点はキーをバックアップできないことです。デバイスを紛失または破壊すると、キーが失われます。このアプローチでは、移行はできません。このオプションは、キーの保存期間が限られていることがわかっている場合を除き、避けてください。

したがって、オプション#1を選択した場合、それは非常に簡単です。古いYubiKeyは必要ありません。ライブディストリビューションを開始し、外部ストレージから秘密鍵を再インポートして、keytocardコマンドを使用して新しいYubiKeyに書き込みます。

質問に答えるには:メールへのアクセスを保持するには、現在のキー(およびサブキー)を保持する必要があります。ただし、ハードウェア自体は同じである必要はありません。外部バックアップがある限り、別のYubiKeyまたはスマートカードでもかまいません。

PGPキーを本当に変更する必要がある場合:理論的には、ファイルを復号化して新しいキーで再暗号化することができますが、電子メールではこれは複雑です。それらはおそらくmboxまたはpstファイルに格納されます。スタンドアロンファイルとして(たとえばIMAPサーバー上で)使用できる場合でも、暗号化されるのはファイル全体ではなく、メール本文です。ヘッダーはまだ明確です。 AFAIK PGPは、ファイルの残りの部分をそのままにしながら、暗号化された部分を単に復号化することはできません。私が恐れている簡単な解決策はありません。


しかし、Thunderbirdでテストを行いました。暗号化されたメッセージを選択し、メッセージソース全体(Ctrl-U)を選択して、ファイルにコピーしました。次に、gpg -d <the file>コマンドラインから、パスフレーズを入力した後にメールを読むことができました。しかし、ヘッダーなどはありません。入手できるのは、簡略化されたバージョンです。これは、たとえばmboxファイルに再注入できるものではありません。

3
Anonymous

Yubikeyの外にキーがある場合は、gpg --edit-cardとkeytocardを使用してインポートします。キーがYubikeyでのみ利用可能な場合、それらはエクスポートできません。

0
eli