GPG / SSH: तथ्य के बाद एक कुंजी को उपकुंजी बनाना


3

मैं अभी भी GPG, SSH, और whatnot के लिए नया हूँ, और मुझे यकीन नहीं है कि सबसे अच्छा अभ्यास क्या है।

मेरे पास एक USB डिवाइस है जो GPG को जेनरेट और होल्ड करने में सक्षम है। SSH कीज़ उनके बिना डिवाइस को छोड़ती हैं। यह स्थानीय मशीन पर आउटपुट के साथ, हस्ताक्षर करने की भी अनुमति देता है।

मैं इस उपकरण की एक कुंजी को अपनी मुख्य कुंजी मानूंगा M, लेकिन इस उपकरण को दैनिक उपयोग के लिए उपयोग करना असुविधाजनक है। इसलिए मैं Aमास्टर कुंजी द्वारा हस्ताक्षरित एक और कुंजी रखना चाहूंगा , जिसे मैं स्थानीय रूप से रख सकता हूं और सामान्य कार्यों के लिए उपयोग कर सकता हूं। (संभवतः इसे ला ला लॉक करने के लिए एक Yubikey का उपयोग करके )।

चूँकि मुझे लगता है कि "सामान्य तरीका" अभी भी डिवाइस को नहीं छोड़ता है, इसलिए उत्पन्न उपकुंजियों, क्या कोई मानक तरीका है कि मैं Aअपने स्थानीय मशीन पर एक नई कुंजी उत्पन्न कर सकता हूं और फिर इसे उपकुंजी के रूप में हस्ताक्षर कर सकता हूं M?

संपादित करें

स्पष्ट करने के लिए, विचाराधीन डिवाइस एक Yubikey नहीं है, और इसमें कुंजी को स्थानांतरित नहीं किया जा सकता है। यह ट्रेज़र की तरह किसी फ़ंक्शन में अधिक समान है , जहां चाबियाँ केवल डिवाइस पर उत्पन्न हो सकती हैं, और इसे अंदर या बाहर कॉपी नहीं किया जा सकता है।

Yubikey विधि चोरी होने पर मुझे लगता है कि यह एक अच्छा तरीका है, लेकिन मुझे लगता है कि यह कमजोर है। Trezor जैसी डिवाइस पर प्रमाणीकरण की अतिरिक्त परतें होती हैं, इसलिए चोरी होने पर भी इसका उपयोग नहीं किया जा सकता है। $ 5 रिंच के हमले!

EDIT2 (हालांकि मुझे लगता है कि डिवाइस मैन्युफैक्चरर्स पर भी भरोसा है)


मैं भी कुछ ऐसा ही करने में दिलचस्पी रखता हूं (मैं अपनी शारीरिक-केवल 'मास्टर कुंजी' होने के लिए एक Yubikey की तरह हूं, लेकिन ज्यादातर चीजों के लिए रिवोकेबल उपकुंजियों का उपयोग करता हूं)। एक इनाम जोड़ने!
ELLIOTTCABLE

यदि यह समस्या का उत्तर देता है, तो YubiKey हार्डवेयर में ट्रांसफ़रिंग कुंजी देखें ।
harrymc

जवाबों:


2

YubiKey का उपयोग करने के लिए एक उत्कृष्ट संसाधन YubiKey Guide है , जो स्वयं के रूप में वर्णन करता है:

यह GPG एन्क्रिप्शन को स्टोर करने और कुंजियों पर हस्ताक्षर करने के लिए स्मार्ट कार्ड के रूप में YubiKey का उपयोग करने के लिए एक व्यावहारिक मार्गदर्शिका है।

SSH के लिए एक प्रमाणीकरण कुंजी भी बनाई जा सकती है और इसका उपयोग gpg-agent के साथ किया जा सकता है।

YubiKey जैसे स्मार्टकार्ड पर संग्रहीत कीज़ को डिस्क पर संग्रहीत लोगों की तुलना में चोरी करना अधिक कठिन लगता है, और रोजमर्रा के उपयोग के लिए सुविधाजनक है।

YibiKey 4 का उपयोग करते हुए डेबियन जीएनयू / लिनक्स 8 (जेसी) के लिए लिखित निर्देश - 4096 बिट आरएसए कुंजी के लिए समर्थन के साथ - ओटीपी + सीसीआईडी ​​मोड में, जीपीजी संस्करण 2.2.1 में अपडेट किया गया। कुछ नोट macOS के लिए भी शामिल हैं।

यहां ब्याज की धारा स्थानांतरण कुंजी है जिसमें यह चेतावनी शामिल है:

YubiKey हार्डवेयर की चाबियाँ स्थानांतरित करना केवल एक-तरफ़ा कार्रवाई है, इसलिए सुनिश्चित करें कि आपने आगे बढ़ने से पहले बैकअप बना लिया है।

प्रक्रिया है:

  • चाबियाँ सूचीबद्ध करें

    gpg --edit-key $KEYID
    
  • हस्ताक्षर कुंजी का चयन करें और स्थानांतरित करें

    key 1
    keytocard
    
  • एन्क्रिप्शन कुंजी को अचयनित, चुनें और स्थानांतरित करें

    key 1
    key 2
    keytocard
    
  • प्रमाणीकरण कुंजी को अचयनित, चुनें और स्थानांतरित करें

    key 2
    key 3
    keytocard
    
  • अपने काम की जांच करें

    gpg --list-secret-keys
    
  • सार्वजनिक कुंजी निर्यात करें

    gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt
    
  • वैकल्पिक रूप से, इसे किसी सार्वजनिक कुंजी पर अपलोड किया जा सकता है

      gpg --send-key $KEYID
    

अधिक जानकारी लेख में पाई जा सकती है।


यह एक उत्कृष्ट उत्तर है, और मैं आने वाले सप्ताहों में (एक बार मेरी अनुसूची की अनुमति देता है) इसका पालन करने का प्रयास करूंगा। हालाँकि, मैं इसे एक उत्तर के रूप में स्वीकार नहीं कर सकता, क्योंकि जिस डिवाइस में मैं संदर्भ देता हूं, वह Yubikey नहीं है, और इसमें ट्रांसफर की गई चाबियां नहीं हो सकती हैं। यह एक [ blog.trezor.io/trezor-firmware-1-3-6-20a7df6e692 जगहों ( Trezor) की तरह कुछ के समान है । Yubikey विधि चोरी होने पर मुझे लगता है कि यह एक अच्छा तरीका है, लेकिन मुझे लगता है कि यह कमजोर है। Trezor जैसी डिवाइस पर प्रमाणीकरण की अतिरिक्त परतें होती हैं, इसलिए चोरी होने पर भी इसका उपयोग नहीं किया जा सकता है। $ 5 रिंच के हमले!
प्रूनस पर्सिका

@PrunusPersica: एक समस्या है, क्योंकि ELLIOTTCABLE ने विशेष रूप से YubiKey के लिए एक बोनस पोस्ट किया है। लेकिन मुझे लगता है कि यह प्रक्रिया अन्य कुंजी के लिए भी काम कर सकती है।
हरमीक

कुछ स्मार्टकार्ड सिस्टम के लिए, हाँ। हालाँकि प्रश्न में किसी का keytocardऑपरेशन नहीं है क्योंकि मैं इसे समझता हूं
प्रूनस पर्सिका

बिना यह जाने कि यह कौन है, मैं मदद नहीं कर सकता।
harrymc

एक हार्डवेयर वॉलेट,
जिसे
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.