GnuPG + Yubikey 4: ¿Cómo verificar manualmente que todas las claves están donde pertenecen (solo en Yubikey)?

9

Creé una clave maestra GnuPG RSA y subclaves 3x RSA (firmar, cifrar, autenticar).

Por supuesto, quiero que todo el material clave se almacene únicamente en el Yubikey 4, ya que son solo mis 3 subclaves. Ya que uso la clave maestra solo para la certificación de las subclaves, debería mantenerse solo fuera de línea con las copias de seguridad de las subclaves.

  • ¿Cómo verifico que las 3 subclaves y ninguna clave maestra estén en el Yubikey 4?
  • ¿Cómo compruebo que no haya material clave sensible en la computadora?
  • ¿Cómo puedo usar el mismo Yubikey en mi segunda máquina (Linux)? ¿Debo importar algún certificado a GnuPG / GPA allí?
  • Primero intenté crear las claves con un CD en vivo como lo sugieren varias fuentes, pero en Windows, Kleopatra no me permitió usar mi Yubikey. Así que usé Windows para crear las claves y funcionó. Ahora me preocupa que las claves secretas estén en el disco duro en algún lugar. lol Si alguien me puede orientar en la dirección correcta, cómo hacerlo funcionar con la creación de teclas en live-cd y usar en un sistema normal, sería increíble.

Estoy usando 2 computadoras con el mismo Yubikey:

  • Windows 7 - Kleopatra y GnuPG
  • Ubuntu 15.04 - GPA y GnuPG
pregunta user3200534 03.01.2016 - 18:47
fuente

1 respuesta

6

Si coloca las subclaves en la YubiKey, aún debe mantener la clave privada principal en algún lugar: es la única entidad que se puede usar para revocar las claves, crear nuevas subclaves, modificar las ID de usuario, certificar las claves de otros, ...

  
  • ¿Cómo verifico que las 3 subclaves y ninguna clave maestra estén en el Yubikey 4?
  •   
  • ¿Cómo compruebo que no haya material clave sensible en la computadora?
  •   

Para verificar el contenido de la tarjeta, ejecute gpg --card-status , que debe imprimir varias líneas de información, incluidas tres llamadas "Clave de firma", "Clave de cifrado" y "Clave de autenticación". Estos deben imprimir las huellas digitales de su subclave, no la huella digital de su clave principal. No se preocupe por la "Información general de la clave", que es una referencia a su clave principal (pública) y no está almacenada en la tarjeta.

Para verificar que las claves no estén almacenadas en su computadora, ejecute gpg --list-secret-keys . Las claves secretas almacenadas en su computadora están marcadas con sec o ssb para las subclaves, las claves secretas no están disponibles (por ejemplo, cuando sus subclaves secretas exportadas solo ejecutan gpg --export-secret-subkeys están marcadas con sec# , los apéndices de la clave secreta solo están disponibles en una tarjeta inteligente OpenPGP (como también implementa YubiKey) con ssb> . Los apéndices clave son referencias simples de que una clave no está disponible o está almacenada en una tarjeta inteligente, e no incluye la clave privada real.

  
  • ¿Cómo puedo usar el mismo Yubikey en mi segunda máquina (Linux)? ¿Debo importar algún certificado a GnuPG / GPA allí?
  •   

Para usar las claves en otra computadora, debe exportar los "apéndices de subclaves secretas" a esta máquina, lo que puede hacer ejecutando gpg --export-secret-subkeys [key-id] (listando el ID de la clave principal). Después de importar en su nueva máquina, no debería ver un sec o ssb , sino solo sec# para el código auxiliar de clave privada principal y ssb> para los códigos auxiliares de clave de subclave.

  
  • Primero intenté crear las claves con un CD en vivo como lo sugieren varias fuentes, pero en Windows, Kleopatra no me permitió usar mi Yubikey. Así que usé Windows para crear las claves y funcionó. Ahora me preocupa que las claves secretas estén en el disco duro en algún lugar. lol Si alguien puede indicarme la dirección correcta para hacer que funcione con la creación de claves en live-cd y el uso en un sistema normal, sería increíble.
  •   

Esto dice que no ejecutó --export-secret-subkeys como se describió anteriormente, por lo que la configuración de GnuPG en la configuración "normal" no conocía las claves privadas. Las claves públicas no se almacenan en la tarjeta, de todos modos.

Cuando use un CD en vivo, asegúrese de crear una copia persistente de la clave maestra principal almacenada en un lugar seguro (¡todavía la necesitará!) y, además, un certificado de revocación de fácil acceso para usted en caso de que necesite revocarlo la clave completa, y se perdió el acceso a la clave privada principal.

    
respondido por el Jens Erat 03.01.2016 - 19:48
fuente

Lea otras preguntas en las etiquetas