He leído bastante a pocos artículos diferentes sobre cómo configurar claves PGP con una clave maestra fuera de línea. Tengo varias tarjetas inteligentes de hardware NEO de YubiKey que pretendo usar para PGP y como clave SSH. Una de las claves de hardware será mi controlador diario, las otras se guardarán en lugares seguros en otro lugar en caso de pérdida de la clave. La clave maestra, como se recomienda en otro lugar, estará sin conexión en una ubicación segura, ya que solo tendré que acceder a ella cuando necesito revocar subclaves.
Veo que hay tres tipos de claves que necesitaré mantener:
- Clave maestra sin conexión.
- Sólo uno.
- Responsable de firmar y revocar subclaves.
- Existe completamente desconectado en una ubicación segura.
- Clave de cifrado compartida.
- Sólo uno.
- Responsable del cifrado y descifrado.
- Existe simultáneamente en todas las tarjetas inteligentes de hardware y fuera de línea en una ubicación segura.
- Clave de autenticación compartida.
- Sólo uno.
- Responsable de la autenticación SSH.
- Existe simultáneamente en todas las tarjetas inteligentes de hardware y fuera de línea en una ubicación segura.
- teclas de firma.
- Una por tarjeta inteligente de hardware.
- Responsable de firmar las cosas.
- Solo existe en una sola tarjeta inteligente de hardware, sin necesidad de una copia de seguridad sin conexión.
¿Es esta la idea general detrás de tener subclaves? Como primero utilizaré primero mis tarjetas inteligentes para la autenticación SSH, y luego el cifrado / descifrado PGP, ¿tiene sentido esta configuración?
No he oído hablar de personas que usen una clave de cifrado compartida, ¿es esto posible? Para cada tarjeta, supongo que haría algo en el que haría gpg --card-edit
e importaría el par de claves de cifrado / descifrado y luego generaría e importaría el nuevo par de claves de firma, firmándolo con la clave maestra fuera de línea. ¿Hay una guía sobre cómo hacer esto en algún lugar?
Soy nuevo en las subclaves y todavía estoy tratando de aprender lo que es posible y lo que sería "mejor" para la seguridad.