5

我目前的设置如下:

sec#  rsa4096/E97E8047 2016-07-18 [C]
uid         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb>  rsa2048/65F03C8F 2016-07-18 [S]
ssb>  rsa2048/3DC1E49C 2016-07-18 [E]
ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]

简而言之:

  • 万能钥匙 w。认证能力,存储在 USB 驱动器上(只能从没有互联网的 livecd 会话访问)
  • 3 个具有身份验证签名加密功能的子密钥,存储在 yubikey 上,始终附加在我的密钥环中。

据我了解,没有我的主密钥,我无法签署其他 GPG 密钥。那么我如何参加 GPG 密钥签名派对呢?不用带着我珍贵的万能钥匙旅行?

我可以做些什么来保护我的主密钥?

  • 我尝试将其移至 yubikey,但失败了(因为它没有 S、E 或 A 功能。我错过了一个技巧吗?
  • 还有其他我可以使用的设备吗?
  • 我可以将我的主密钥放在连接到服务器的 HSM 上并通过 SSH 连接到它,该 SSH 由我的 yubikey 上的子密钥进行身份验证,然后是远程签名密钥?如果是这样,什么硬件可以保存 GPG 主密钥?

到目前为止,我唯一的选择似乎是将主密钥放在 USB 密钥上,并在参加密钥签名派对时启动 livecd。

注意:方便很重要。由于我的合规性差,不方便的程序是一个重大的安全风险:)

4

1 回答 1

4

在活动结束后,您通常会在密钥签名方中获得所有密钥的副本,这将在注册截止日期之后pubring.gpgpubring.kbx活动之后在线提供或通过电子邮件发送给每个参与者。

活动期间:

  • 您没有携带任何 PGP 密钥。
  • 只需您的护照或其他身份证明表格。
  • 可以选择一张带有您自己的 UID/电子邮件和密钥指纹的纸,以确保其他人正在验证您的实际密钥而不是其他人。
    (在您的名片上有您的电子邮件和 PGP 指纹非常适合此目的)

因此,当您回到家时,您可以在拥有安全环境的地方签署密钥,然后将它们邮寄到您在聚会期间确认的 UID(以加密形式)。

有一些工具可以自动化派对后的签名过程,以及派对之前和期间的准备工作,对于 linux,请参见pius1signing-party2

我的大多数主密钥都有[SCEA]子密钥,并且我能够将主密钥移动到智能卡的签名槽(两者都Yubikey Neo适用Yubikey 4),同时使用子密钥进行日常使用。

于 2017-11-07T22:08:08.557 回答