Métodos para trabajar con claves primarias sin conexión

Navega tus respuestas
1

Creé varios perfiles con subclaves separadas para autenticación, firma y cifrado, mientras que las claves primarias se guardan en una memoria USB. Funciona bien, pero me preguntaba si existen algunos buenos métodos para vincular a una clave principal cuando sea necesario para certificar ciertas operaciones, como firmar otra clave, agregar identidades, etc.

Seguí este blog , que pensé que sería un solución. Importé claves privadas en un directorio temporal gpg ~/ram/gpgtmp/ e intenté firmar ID2 con ID1 en una carpeta predeterminada ~/.gnupg/puring.kbx . 

gpg --homdir ~/ram/gpgtmp --keyring ~/.gnupg/pubring.kbx -u ID1 --edit-key ID2

El ID2 no está registrado en una carpeta gnupg predeterminada, sino en ~/ram/gpgtmp . Lo probé al invocar el comando gpg --homedir ~/ram/gpgtmp -k . Por lo tanto, no está necesariamente funcionando.

¿Sabe cómo traer una clave principal fuera de línea?

    
pregunta Celdor 08.05.2018 - 21:38
fuente

1 respuesta

0

He encontrado una forma de vincular una clave principal sin conexión. Aún así, inspirado en un blog Al usar una clave maestra GnuPG sin conexión , me di cuenta de que --keyring agrega un archivo a una lista de llaveros, mientras que yo necesitaba especificar exactamente un archivo. Por lo tanto, la opción que faltaba era --no-default-keyring . No soy un experto, pero esto es lo que funcionó para mí:

1) Monte la memoria USB. La carpeta tendrá algo así como /run/media/username/CORSAIR en Linux.

2) Crear un directorio para un disco RAM 

mkdir ~/ram

3) Monte el disco ram: 

sudo mount -t tmpfs -o size=64M tmpfs ~/ram

4) Crea un directorio temporal para gpg: mkdir ~/ram/gpgtmp .

5) Importe claves privadas desde un USB a un gpg temporal, por ejemplo 

gpg --homedir ~/ram/gpgtmp --import /run/media/username/CORSAIR/gpg-archive/primary-keys.asc

Después de importar claves privadas a un disco RAM, la memoria USB ya no es necesaria.

6) Ejecutar editor GPG: 

gpg --homedir ~/ram/gpgtmp/ --keyring ~/.gnupg/pubring.kbx --no-default-keyring -u <ID1> --edit-key <ID2>

7) En el editor, use uid n para elegir una identidad de interés, seguido de sign para firmar la identidad seleccionada con una clave local.

Con una clave principal vinculada a una carpeta temporal de gpg, el comando debe completarse con éxito. Como nota al margen, después del paso 5, una memoria USB ya no es necesaria y se puede desmontar.

EDIT.

En caso de error: 

gpg: key AAAAAAAAAAAAA: error sending to agent: No such file or directory

intenta reiniciar gpg-agent 

gpgconf --kill gpg-agent
gpgconf --launch gpg-agent

También borré todo en gpgtmp. Aún mejor sería volver a crear la carpeta. Después de relanzar el gpg-agent, la importación estaba funcionando nuevamente. Supongo que un simple sistema de reinicio también funcionaría.

    
respondido por el Celdor 09.05.2018 - 00:43
fuente

Lea otras preguntas en las etiquetas

¿Puedo usar HashiCorp Vault para restringir el acceso a las credenciales basadas en CIDR? [cerrado] ¿Por qué usar el token de actualización de oAuth2 es más seguro que regenerar un access_token?