Después de usar un yubikey diariamente durante casi un año, decidí que ya era hora de aprender a certificar las claves de mis amigos.
Me sorprendió saber que uno solo puede firmar claves con su clave maestra , ya que significaría que yo Tendría que importar dicha clave privada a mi computadora cada vez que quiera firmar una clave, lo que parece ser un gran riesgo de seguridad en comparación con el uso de las funciones de tarjeta inteligente de subclave de yubikey.
¿Cuál es la mejor manera de firmar llaves de manera segura cuando su llave maestra generalmente está en almacenamiento en frío (sin espacios)?
¿Es posible certificar claves con una subclave?
No sé cómo, pero creo que lo hice el mes pasado (tengo la clave firmada en mi escritorio, generada el mes pasado pero no he tocado mi llave maestra en más de un año), aunque la pregunta de SE vinculada arriba es haciéndome cuestionarme.
Solo para revisar, aquí hay una descripción general de mi configuración, que supongo que es bastante estándar:
- clave maestra (privada) en almacenamiento en frío (cifrada)
- yubikey permite operaciones gpg fáciles sin permitir el acceso directo a las (sub) claves privadas
Planeo firmar aproximadamente una vez al mes y, aunque prefiero la conveniencia, para mí la seguridad es más importante.
Aquí hay algunas ideas que tengo:
- dedica una frambuesa pi (o algo similar) a la firma clave
- jugar con la configuración de PGP de bajo nivel para intentar obtener una subclave con la habilidad
certify - genere otro conjunto de claves pgp específicamente para certificar claves y firme esa clave con mis claves principales existentes. Ya tengo dos llaves maestras (cada una para un yubikey diferente) por lo que una tercera podría ser un poco molesta
- use la más débil (2048 bits) de mis dos llaves maestras para certificar las claves, manteniéndolas encriptadas pero en mi computadora