Use subclaves específicas sin clave maestra en diferentes dispositivos usando GPG

3

En mi máquina principal uso una clave gpg específica (obviamente). Utilizo el almacén de contraseñas de Unix pass para administrar mis contraseñas que se cifran con esta clave. La tienda es empujada a un repositorio git. Ahora, en mi dispositivo Android, uso Password Store y OpenKeyChain para usar mis contraseñas.

Lo que me gustaría hacer es importar solo las subclaves en mi dispositivo Android sin la clave maestra para que cuando se pierda o me roben el dispositivo no tenga que revocar la clave maestra ni todas las subclaves asociadas.

¿Es esto realmente posible y, de ser así, cómo sería el procedimiento?

    
pregunta Cutú Chiqueño 13.09.2016 - 16:45
fuente

1 respuesta

1

pass y contraseña de Android almacenar use el comando gpg detrás de escena, lo que significa que una solución GnuPG pura es lo suficientemente buena, es decir, puede usar el comando gpg y ambos programas simplemente recogerán las claves.

Sin embargo, a partir de llavero abierto tengo problemas para encontrar si solo se pueden importar subclaves. Debo argumentar que su documentación de github (y código) es bastante mala pero, creo, que ui.adapte.ImportKeyAdapter.java puede importar una exportación GnuPG (tendrás que intentarlo, no tengo un teléfono Android) ).

Ahora asumo que creas subclaves por (o equivalente):

$ gpg --edit-key <your key>
gpg> addkey

Por ejemplo, tengo un par de subclaves:

$ gpg -K 040E2771C840C4F6
sec   2048R/040E2771C840C4F6 2014-08-21
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
ssb   2048R/C82957C790BA249B 2014-08-21
ssb   2048R/714F28317A0ACBDA 2015-02-15
ssb   2048R/780D6F342D47A4E2 2016-02-15
ssb   2048R/144EA814AC84FD73 2016-02-15

Cuando realizo una exportación de subclaves solamente:

gpg -a -o subkeys --export-secret-subkeys 040E2771C840C4F6

Luego puedo copiar subkeys a otra máquina e importarlo:

gpg --import subkeys

Cuando enumero mi clave en esta máquina, se muestra un # al lado de la clave maestra. Es la forma en que GnuPG le dice que la clave secreta no está realmente allí.

$ gpg -K 040E2771C840C4F6
sec#  2048R/040E2771C840C4F6 2014-08-21
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
uid                          Michal Grochmal <>
ssb   2048R/C82957C790BA249B 2014-08-21 [expires: 2016-02-15]
ssb   2048R/714F28317A0ACBDA 2015-02-15 [expires: 2016-02-15]
ssb   2048R/780D6F342D47A4E2 2016-02-15 [expires: 2019-02-14]
ssb   2048R/144EA814AC84FD73 2016-02-15 [expires: 2019-02-14]

La lectura adicional es Página de Debian sobre subclaves , describe el proceso con mucho más detalle. Sin embargo, esa página argumenta que puede exportar todas las claves secretas, copiar el archivo y luego eliminar la clave maestra en el propio dispositivo. Eso es posible, pero te aconsejaré en contra. Un teléfono a menudo implementa el almacenamiento de manera similar a la tecnología de estado sólido, lo que hace que el archivo con su llave maestra sea recuperable para un atacante determinado.

    
respondido por el grochmal 14.09.2016 - 03:40
fuente

Lea otras preguntas en las etiquetas