He arruinado accidentalmente hace unos meses haciendo que keytocard ingiera una clave de servicio antes haciendo una copia de seguridad fuera de línea y bloqueada de la misma. Fallé en la comprensión de lectura y no sabía que esto eliminaría el material clave después de un movimiento exitoso, y dejaría mi copia de seguridad sin el material clave real. La clave está estructurada como una clave de firma con un cifrado y una subclave de autenticación. Todavía tengo acceso a la tarjeta a la que se trasladaron las cosas, pero, por supuesto, quiero corregir el caso de no tener copias de seguridad.
Hacer --list-packets en mi clave secreta copia de seguridad da
:secret key packet:
version 4, algo 1, created REDACTED, expires 0
pkey[0]: [4096 bits]
pkey[1]: [17 bits]
skey[2]: [v4 protected]
keyid: REDACTED
:secret sub key packet:
version 4, algo 1, created REDACTED, expires 0
pkey[0]: [4096 bits]
pkey[1]: [17 bits]
gnu-divert-to-card S2K, algo: 0, simple checksum, hash: 0
serial-number: REDACTED
keyid: REDACTED
:secret sub key packet:
version 4, algo 1, created REDACTED, expires 0
pkey[0]: [4096 bits]
pkey[1]: [17 bits]
gnu-divert-to-card S2K, algo: 0, simple checksum, hash: 0
serial-number: REDACTED
keyid: REDACTED
(después de algunos recortes y redacciones).
El hecho de que solo faltan las subclaves (las mayúsculas de E y A) en la copia de seguridad y que, de hecho, la clave principal (firma) se puede salvar.
- ¿Cómo puedo verificar la sospecha anterior? No entiendo cómo decirle a GPG que deje de usar la tarjeta si el material de la clave secreta está presente fuera de la tarjeta.
- Si la copia de seguridad de la clave principal está intacta, es un buen curso de acción generar nuevas subclaves E y A, descifrar todos los datos secretos que tengo mientras que la clave E anterior aún está disponible en la tarjeta, volver a cifrar todo con la nueva clave E, crear nuevo material de copia de seguridad y luego aplicar claves a las nuevas subclaves?