GPG con tarjeta inteligente Yubikey - ¡no es necesario que la tarjeta inteligente esté conectada! [duplicar]

Navega tus respuestas
2

He creado una clave MASTER sin conexión junto con las subclaves. Las claves secundarias se enviaron a la tarjeta inteligente de Yubikey a través del 'keytocard' de gpg. El comando gpg --card-status identifica correctamente la información que muestra la identificación de la llave maestra y las subclaves.

Quiero usar esto a través de Windows. Así que descargué Gpg4win. Se instaló una GUI Kleopatra.

En Kleopatra IMPORTO mi clave PUBLIC. Sin embargo, no puedo cifrar / firmar nada, ya que indica que debo importar una clave privada. Estoy un poco confundido, ¿no es ese el punto de Yubikey (NO tener la clave privada en un disco duro que está en línea)? ¿No es el Yubikey LA CLAVE PRIVADA, de nuevo para que no tenga que tener la clave privada en el disco duro?

Reduje esta prueba con otro Yubikey e importé la clave privada (que se suponía que estaba fuera de línea) y funciona, pero también se descifra SIN REQUERIR EL YUBIKEY.

Idealmente, lo que quiero que suceda es que es un REQUISITO que inserte el Yubikey en la máquina para poder cifrar o descifrar un archivo o portapapeles.

Además, observo que esta prueba, cuando importé la clave privada, me pide la contraseña en lugar de insertar el Yubikey. Una vez que importé la clave privada, el Yubikey ya no sirve para nada.

¿Alguna sugerencia específica para gpg para Windows / Kleopatra GUI?

    
pregunta user3330299 05.12.2017 - 00:43
fuente

1 respuesta

0

Tuve este mismo problema hace unos días. Deberá exportar un código auxiliar de su clave privada a su PC. Básicamente, el talón le dice a su caja que la clave privada está en una tarjeta y debe buscarla allí, entonces Kleopatra / GPG4Win podrá utilizar la clave privada correctamente.

EDITAR:

Esta respuesta lo dice mejor que yo hizo.

EDITAR (2): Parece que el enlace no era todo lo que necesitaba para lograr esto, en mi configuración no obtendría talones del Yubikey, así que tuve que obtenerlos de una máquina que ya tenía talones para esas subclaves ( en el que los creé). Aquí detallaré mis pasos.

  1. Genere la clave maestra de PGP (usando Guybrush Threepwood como nombre real) 

    gpg2 --full-gen-key

  2. Genere subclaves para firmar, cifrar y autenticar. 

    gpg2 --expert --edit-key Guybrush
addkey (follow prompts, repeat for all subkeys)

  3. Mueva las subclaves a la tarjeta (aún dentro del menú --edit-key) (Nota: este paso elimina realmente las subclaves de su sistema) 

    key1
keytocard
key 1
key 2
keytocard
key 2
key 3
keytocard
save

  4. Ahora que las subclaves solo están en tu Yubikey, exporta apéndices de clave privada para ellos. 

    gpg2 -a -o subkeys.sec.asc --export-secret-subkeys Guybrush

  5. Mueva de forma segura subkeys.sec.asc de su máquina generadora a su máquina cliente (scp / sneakernet, etc.).

  6. Desde su máquina cliente 

    gpg --import subkeys.sec.asc

Ahora Kleopatra debería mostrar una entrada para Guybrush Threepwood como una clave privada que usted controla, y no debería permitirle firmar / descifrar como él a menos que su Yubikey esté insertado y el PIN ingresado.

También puede encontrar este archivo README de Github

Descargo de responsabilidad: no soy un experto en esto, por lo que si llega algún comentario en el que discute mi consejo, debería escucharlo.

    
respondido por el user8675309 05.12.2017 - 15:56
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor manera de analizar los resultados de una evaluación de seguridad técnica? [cerrado] fuzzer de protocolo de red basado en ASN.1 [cerrado]