gpgとSSHを一緒に使用するには？

私はこのトピックについていくつかの調査を行っており、いくつかのヒントを与えることができますが、それを機能させる方法はまだ見つかりません。

モンキースフィア

Monkeysphere は非常に興味深いプロジェクトのようですが、MacPortsを使用して空き容量を少しでも詰まらせずにMac OS Xでコンパイルすることはできませんでした。

Gpgkey2sshの使用

試してみることをお勧めする最初の方法は、キーID（BFB2E5E3など）から互換性のあるauthorized_keysエントリを次のように生成することです。

gpgkey2ssh BFB2E5E3 | tee -a ~/.ssh/authorized_keys

ここでは、テスト目的でsshサーバーを実行したため、これをローカルホストに追加しましたが、もちろん、これをターゲットホスト~/.ssh/authorized_keysに追加する必要があります。次に、認証中にこのキーのプライベート部分を使用するようにSSHに指示する必要がありますが、ASCIIアーマーバージョンのキーペアをエクスポートするだけでは機能しません：

gpg --armor --export-secret-key BFB2E5E3! |tee ~/.ssh/id_rsa
gpg --armor --export BFB2E5E3! | tee ~/.ssh/id_rsa.pub
chmod 400 ~/.ssh/id_rsa
ssh localhost

Gpg-agentの使用

gpg-agentには、よく知られている--enable-ssh-supportのドロップイン置換として使用できるssh-agentオプションがあります。この方法でssh-addを起動した後、gpg-agentを介してGPGキーを追加しようとしている人のことを読んだことがあります。

gpg-agent --enable-ssh-support --daemon
gpg --armor --export-secret-key BFB2E5E3! | tee ~/.gnupg/exported-keys/BFB2E5E3_sec.asc
ssh-add ~/.gnupg/exported-keys/BFB2E5E3_sec.asc

しかし、これがうまくいくとは思いません。 gpg-agentのマンページ は次のように述べています。

エージェントを介して使用されるSSHキーは、最初にssh-addユーティリティを介してgpg-agentに追加する必要があります。キーが追加されると、ssh-addは提供されたキーファイルのパスワードを要求し、保護されていないキー素材をエージェントに送信します。これにより、gpg-agentはパスフレーズを要求します。パスフレーズは、新しく受信したキーを暗号化し、gpg-agent固有のディレクトリに保存するために使用されます。

したがって、GPG暗号化でSSHキーを保護するための追加の手段としてgpg-agentを使用する必要があるようです。

GPGキーをOpenSSHに変換する

JérômePouillerの blog は、GpgsmユーティリティがPCSC12でキーと証明書をエクスポートできると書いています。その後、OpenSSHで使用できます。

gpgsm -o secret-gpg-key.p12 --export-secret-key-p12 0xXXXXXXXX
openssl pkcs12 -in secret-gpg-key.p12 -nocerts -out gpg-key.pem
chmod 600 gpg-key.pem
cp gpg-key.pem ~/.ssh/id_rsa
ssh-keygen -y -f gpg-key.pem > ~/.ssh/id_rsa.pub

しかし、gpgsmにgpgキーペアを受け入れさせる方法が見つかりませんでした。

あなたが試すことができる他のこと

SSHには-Iオプションがあり、PKCS＃11共有ライブラリを指定します。sshは、ユーザーのプライベートRSAキーを提供するPKCS＃11トークンとの通信に使用する必要があります。 ssh-keygenは、RFC4716/SSH2公開鍵または秘密鍵、PEM PKCS8公開鍵、およびPEM公開鍵を使用して、-iおよび-mオプションを使用するOpenSSH互換の秘密（または公開）鍵を生成できます。

それでも私はそれをすべて組み合わせる方法を見つけることができません。