GnuPG RSAマスターキーと3x RSAサブキー(署名、暗号化、認証)を作成しました。
もちろん、すべてのキーマテリアルを保存する単独でをYubikey 4に保存したい-それらは私の3つのサブキーだけなので。私はサブキーの認証にのみマスターキーを使用するので、サブキーのバックアップでのみオフラインにしておく必要があります。
私は同じYubikeyを搭載した2台のコンピューターを使用しています。
YubiKeyにサブキーを配置する場合でも、プライマリ秘密キーをどこかに保持する必要があります。これは、キーの取り消し、新しいサブキーの作成、ユーザーIDの変更、他のユーザーのキーの認証などに使用できる唯一のエンティティです...
- Yubikey 4に3つのサブキーがすべてあり、マスターキーがないことを確認するにはどうすればよいですか?
- 機密のキーマテリアルがコンピュータ上にないことを確認するにはどうすればよいですか?
カードの内容を確認するには、_gpg --card-status
_を実行します。これにより、「署名キー」、「暗号化キー」、「認証キー」と呼ばれる3行を含む数行の情報が出力されます。これらは、主キーの指紋ではなく、サブキーの指紋を印刷する必要があります。 「一般的な鍵情報」は気にしないでください。これは、プライマリ(公開)鍵への参照であり、カードに保存されていません。
キーがコンピューターに保存されていないことを確認するには、_gpg --list-secret-keys
_を実行します。コンピューターに保存されている秘密鍵は、サブキーの場合はsec
またはssb
でマークされます。秘密キーは使用できません(たとえば、エクスポートされた秘密サブキーのみが_gpg --export-secret-subkeys
_を実行している場合、_sec#
_、ssb>
_を使用したOpenPGPスマートカード(YubiKeyも実装する)でのみ使用できる秘密鍵スタブ。キースタブは、鍵を使用できないか、スマートカードに格納されている単純な参照で、not実際の秘密鍵を含めます。
- 2台目のマシン(Linux)で同じYubikeyをどのように使用できますか?証明書をGnuPG/GPAにインポートする必要がありますか?
別のコンピューターでキーを使用するには、「秘密のサブキースタブ」をこのマシンにエクスポートする必要があります。これは、_gpg --export-secret-subkeys [key-id]
_を実行して実行できます(主キーのIDをリストします)。新しいマシンにインポートした後、sec
またはssb
は表示されず、プライマリ秘密鍵スタブの_sec#
_とサブキーキースタブの_ssb>
_のみが表示されます。 。
- さまざまなソースから提案されたように、最初にlive-cdを使用してキーを作成しようとしましたが、Windowsに戻ると、KleopatraでYubikeyを使用できませんでした。そこで、Windowsを使用してキーを作成し、それが機能しました。秘密キーがハードドライブのどこかにあるのではないかと心配しています。 LOLライブCDでキー作成を使用して通常のシステムで使用する方法を誰かが私に正しい方向に向けることができれば、素晴らしいでしょう。
これは、上記のように_--export-secret-subkeys
_を実行しなかったように見えるため、「通常の」セットアップでのGnuPGセットアップは秘密鍵をまったく認識していませんでした。とにかく、公開鍵はカードに保存されません。
ライブCDを使用する場合は、安全な場所に保存されているプライマリマスターキーの永続的なコピーを作成してください(必要な場合もあります)。さらに、キー全体を取り消す必要がある場合に備えて、簡単にアクセスできる失効証明書を作成してください。 、およびプライマリ秘密キーへのアクセスを失った。