智能卡 – GPG密钥签名方w.在yubikey上分离主密钥和子密钥

概述我目前的设置如下： sec# rsa4096/E97E8047 2016-07-18 [C]uid [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>uid [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>uid [ultim 我目前的设置如下：

sec#  rsa4096/E97E8047 2016-07-18 [C]uID         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>uID         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>uID         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>ssb>  rsa2048/65F03C8F 2016-07-18 [S]ssb>  rsa2048/3DC1E49C 2016-07-18 [E]ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]

简而言之：

>万能钥匙认证功能,存储在USB驱动器上(只能从没有互联网的livecd会话访问)
> 3个具有身份验证,签名和加密功能的子密钥,存储在yubikey上,始终附加在我的密钥环中.

据我了解,如果没有我的主密钥,我无法签署其他GPG密钥.
那么我该如何参加GPG密钥签约方？没有带着我宝贵的万能钥匙旅行？

我可以做些什么来保护我的主密钥？

>我尝试将它移动到yubikey,但失败了(因为它没有S,E或A功能.我错过了一个技巧吗？
>我可以使用其他设备吗？
>我可以将我的主密钥放在连接到服务器的HSM上,并通过我的yubikey上的子密钥验证的SSH连接到它,然后是远程签名密钥吗？如果是这样,哪些硬件可以容纳GPG主密钥？

到目前为止,我唯一的选择似乎是将主密钥随身携带在USB密钥上,并在参加密钥签名方时启动livecd.

注意：方便很重要.不方便的程序是一个重大的安全风险,由于我的合规性差:)

解决方法 您通常会在活动结束后获得钥匙签约方所有钥匙的副本 – 这将是在注册截止日期后或活动结束后在线提供或通过电子邮件发送给每位参与者的pubring.gpg或pubring.kbx.

活动期间：

>您不带任何PGP密钥.
>只需您的护照或其他身份z明.
>可选择使用您自己的UID /电子邮件和密钥指纹的纸张,以确保其他人正在验证您的实际密钥而不是其他人.
(在您的名片上使用您的电子邮件和PGP指纹非常适合此目的)

所以当你回到家时,你有一个安全的环境,并将它们邮寄给你在聚会期间确认的UID(以加密形式).

有一些工具可以自动完成派对后的签名过程,以及派对前和派对期间的准备工作,对于linux,请参阅pius1和签署party2.

我的大多数主密钥都有[SCEA]和子密钥,我可以将主密钥移动到智能卡的签名槽(Yubikey Neo和Yubikey 4都适用于此),同时使用子密钥进行日常使用.

总结

以上是内存溢出为你收集整理的智能卡 – GPG密钥签名方w.在yubikey上分离主密钥和子密钥全部内容，希望文章能够帮你解决智能卡 – GPG密钥签名方w.在yubikey上分离主密钥和子密钥所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。