¿Qué contiene% APPDATA% \ GnuPG \ secring.gpg después de invocar "gpg --card-editar generar"?

Question

¿Qué contiene% APPDATA% \ GnuPG \ secring.gpg después de invocar "gpg --card-editar generar"?

#1 de Jens Erat (2 votos)

2

Para una nueva tarjeta inteligente (crypto stick), he invocado gpg --card-edit , ejecuté el comando generate y seleccioné no crear ninguna copia de seguridad de las claves generadas. Una vez finalizada la generación de claves, se creó un archivo %APPDATA%\GnuPG\secring.gpg y gpg --list-secret-keys me da el siguiente resultado, sin importar si la tarjeta inteligente está conectada o no:

C:/Users/myaccount/AppData/Roaming/gnupg/secring.gpg
-----------------------------------------------
sec>  2048R/A076E602 2017-03-16
      Card serial no. = 0005 00003547
uid                  My Name <my.email@mydomain>
ssb>  2048R/94D78957 2017-03-16
ssb>  2048R/8C953787 2017-03-16

Al eliminar este archivo, reiniciar gpg-agent.exe , volver a colocar la tarjeta inteligente sin ingresar el pin, y realizar gpg --card-status se recrea el mismo archivo.

Para mí, esto parece que la clave secreta se copia a mi disco duro una y otra vez.

windows gnupg smartcard

pregunta mstrap 16.03.2017 - 15:35

fuente

1 respuesta

Lea otras preguntas en las etiquetas windows gnupg smartcard

¿Cómo redefinir el número máximo de señuelos en un escaneo de nmap? Rastreando una puerta trasera registrando paquetes

score 2 · Accepted Answer

GnuPG almacena un código auxiliar de clave , cuando se conectan las tarjetas inteligentes. Las tarjetas inteligentes OpenPGP solo contienen los datos de clave sin procesar (y la ID de la clave), pero no las ID de usuario, las certificaciones, las configuraciones y otros atributos que deben almacenarse localmente o recuperarse de la red del servidor de claves. Además, este talón de clave hace que GnuPG esté al tanto de la tarjeta, incluso si no está enchufada, por lo que puede solicitarle que la proporcione si es necesario.

Este apéndice de clave contiene todo excepto las claves privadas, que nunca abandonarán la tarjeta (en su lugar, las operaciones de clave privada se realizan con la tarjeta).

Si su anillo de llaves aún está en el formato de anillo de llaves antiguo (no el nuevo formato de caja de llaves introducido en GnuPG 2.1 para los anillos de llaves recién generados), también puede llegar al anillo de llaves usando gpg --list-packets C:/Users/myaccount/AppData/Roaming/gnupg/secring.gpg o pgpdump , que proporciona más indicadores para Especifique la verbosidad de salida y también puede imprimir los datos de clave en bruto. Ambas herramientas son muy técnicas y requieren un conocimiento bastante intenso de RFC 4880, OpenPGP para comprender los datos.