Firmar / certificar claves como usuario de YubiKey

3

Después de usar un yubikey diariamente durante casi un año, decidí que ya era hora de aprender a certificar las claves de mis amigos.

Me sorprendió saber que uno solo puede firmar claves con su clave maestra , ya que significaría que yo Tendría que importar dicha clave privada a mi computadora cada vez que quiera firmar una clave, lo que parece ser un gran riesgo de seguridad en comparación con el uso de las funciones de tarjeta inteligente de subclave de yubikey.

¿Cuál es la mejor manera de firmar llaves de manera segura cuando su llave maestra generalmente está en almacenamiento en frío (sin espacios)?

¿Es posible certificar claves con una subclave?
No sé cómo, pero creo que lo hice el mes pasado (tengo la clave firmada en mi escritorio, generada el mes pasado pero no he tocado mi llave maestra en más de un año), aunque la pregunta de SE vinculada arriba es haciéndome cuestionarme.

Solo para revisar, aquí hay una descripción general de mi configuración, que supongo que es bastante estándar:

  • clave maestra (privada) en almacenamiento en frío (cifrada)
  • yubikey permite operaciones gpg fáciles sin permitir el acceso directo a las (sub) claves privadas

Planeo firmar aproximadamente una vez al mes y, aunque prefiero la conveniencia, para mí la seguridad es más importante.

Aquí hay algunas ideas que tengo:

  • dedica una frambuesa pi (o algo similar) a la firma clave
  • jugar con la configuración de PGP de bajo nivel para intentar obtener una subclave con la habilidad certify
  • genere otro conjunto de claves pgp específicamente para certificar claves y firme esa clave con mis claves principales existentes. Ya tengo dos llaves maestras (cada una para un yubikey diferente) por lo que una tercera podría ser un poco molesta
  • use la más débil (2048 bits) de mis dos llaves maestras para certificar las claves, manteniéndolas encriptadas pero en mi computadora
pregunta user196499 21.04.2018 - 05:16
fuente

1 respuesta

1

Creo que, en primer lugar, es importante comprender que en GnuPG las "subclaves" son solo conjuntos de claves totalmente independientes que tienen capacidades asignadas: una clave de firma está limitada artificialmente para poder realizar operaciones de firma. La clave de certificación es tanto una subclave como la clave de firma, realmente no hay nada que la haga especial. Solo lo llamamos la clave "maestra" por convención, y a menudo es confuso para las personas (por ejemplo, en el mundo físico una clave "maestra" puede desbloquear todos los bloqueos, por lo que muchos usuarios esperan que su clave maestra GnuPG sea capaz de para descifrar mensajes cifrados a la subclave "E"). La clave de certificación (C) es solo otra clave que puede indicar la relación entre sus identidades y otras claves que le pertenecen. Comprender que le permite comprender mejor por qué la respuesta a la siguiente pregunta es "ya lo hizo, con su subclave 'C'":

  

¿Es posible certificar claves con una subclave?

Entonces, ¿puedes poner tu subclave "C" en la tarjeta inteligente? Sí, creo que las versiones 2.1+ de GnuPG hacen que sea bastante fácil colocar la llave C en la ranura "S" de la tarjeta inteligente. Sin embargo, con algunos ajustes adicionales, puede incluso sus claves en varias tarjetas inteligentes , puedes encontrarte en casos de esquina con un comportamiento extraño.

Tener un sistema dedicado fuera de la red para certificar claves es una práctica común, aunque pocas personas tienen la molestia de configurarlo. Todos los mecanismos que mencionas están bien para ese propósito, y te dejaré elegir el que más te convenga.

    
respondido por el mricon 22.04.2018 - 03:52
fuente

Lea otras preguntas en las etiquetas