GPG / SSH: तथ्य के बाद एक कुंजी को उपकुंजी बनाना

मैं अभी भी GPG, SSH, और whatnot के लिए नया हूँ, और मुझे यकीन नहीं है कि सबसे अच्छा अभ्यास क्या है।

मेरे पास एक USB डिवाइस है जो GPG को जेनरेट और होल्ड करने में सक्षम है। SSH कीज़ उनके बिना डिवाइस को छोड़ती हैं। यह स्थानीय मशीन पर आउटपुट के साथ, हस्ताक्षर करने की भी अनुमति देता है।

मैं इस उपकरण की एक कुंजी को अपनी मुख्य कुंजी मानूंगा M, लेकिन इस उपकरण को दैनिक उपयोग के लिए उपयोग करना असुविधाजनक है। इसलिए मैं Aमास्टर कुंजी द्वारा हस्ताक्षरित एक और कुंजी रखना चाहूंगा , जिसे मैं स्थानीय रूप से रख सकता हूं और सामान्य कार्यों के लिए उपयोग कर सकता हूं। (संभवतः इसे ला ला लॉक करने के लिए एक Yubikey का उपयोग करके )।

चूँकि मुझे लगता है कि "सामान्य तरीका" अभी भी डिवाइस को नहीं छोड़ता है, इसलिए उत्पन्न उपकुंजियों, क्या कोई मानक तरीका है कि मैं Aअपने स्थानीय मशीन पर एक नई कुंजी उत्पन्न कर सकता हूं और फिर इसे उपकुंजी के रूप में हस्ताक्षर कर सकता हूं M?

संपादित करें

स्पष्ट करने के लिए, विचाराधीन डिवाइस एक Yubikey नहीं है, और इसमें कुंजी को स्थानांतरित नहीं किया जा सकता है। यह ट्रेज़र की तरह किसी फ़ंक्शन में अधिक समान है , जहां चाबियाँ केवल डिवाइस पर उत्पन्न हो सकती हैं, और इसे अंदर या बाहर कॉपी नहीं किया जा सकता है।

Yubikey विधि चोरी होने पर मुझे लगता है कि यह एक अच्छा तरीका है, लेकिन मुझे लगता है कि यह कमजोर है। Trezor जैसी डिवाइस पर प्रमाणीकरण की अतिरिक्त परतें होती हैं, इसलिए चोरी होने पर भी इसका उपयोग नहीं किया जा सकता है। $ 5 रिंच के हमले!

EDIT2 (हालांकि मुझे लगता है कि डिवाइस मैन्युफैक्चरर्स पर भी भरोसा है)

YubiKey का उपयोग करने के लिए एक उत्कृष्ट संसाधन YubiKey Guide है , जो स्वयं के रूप में वर्णन करता है:

यह GPG एन्क्रिप्शन को स्टोर करने और कुंजियों पर हस्ताक्षर करने के लिए स्मार्ट कार्ड के रूप में YubiKey का उपयोग करने के लिए एक व्यावहारिक मार्गदर्शिका है।

SSH के लिए एक प्रमाणीकरण कुंजी भी बनाई जा सकती है और इसका उपयोग gpg-agent के साथ किया जा सकता है।

YubiKey जैसे स्मार्टकार्ड पर संग्रहीत कीज़ को डिस्क पर संग्रहीत लोगों की तुलना में चोरी करना अधिक कठिन लगता है, और रोजमर्रा के उपयोग के लिए सुविधाजनक है।

YibiKey 4 का उपयोग करते हुए डेबियन जीएनयू / लिनक्स 8 (जेसी) के लिए लिखित निर्देश - 4096 बिट आरएसए कुंजी के लिए समर्थन के साथ - ओटीपी + सीसीआईडी ​​मोड में, जीपीजी संस्करण 2.2.1 में अपडेट किया गया। कुछ नोट macOS के लिए भी शामिल हैं।

यहां ब्याज की धारा स्थानांतरण कुंजी है जिसमें यह चेतावनी शामिल है:

YubiKey हार्डवेयर की चाबियाँ स्थानांतरित करना केवल एक-तरफ़ा कार्रवाई है, इसलिए सुनिश्चित करें कि आपने आगे बढ़ने से पहले बैकअप बना लिया है।

प्रक्रिया है:

• चाबियाँ सूचीबद्ध करें

  gpg --edit-key $KEYID
  

• हस्ताक्षर कुंजी का चयन करें और स्थानांतरित करें

  key 1
  keytocard
  

• एन्क्रिप्शन कुंजी को अचयनित, चुनें और स्थानांतरित करें

  key 1
  key 2
  keytocard
  

• प्रमाणीकरण कुंजी को अचयनित, चुनें और स्थानांतरित करें

  key 2
  key 3
  keytocard
  

• अपने काम की जांच करें

  gpg --list-secret-keys
  

• सार्वजनिक कुंजी निर्यात करें

  gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt
  

• वैकल्पिक रूप से, इसे किसी सार्वजनिक कुंजी पर अपलोड किया जा सकता है

    gpg --send-key $KEYID
  

अधिक जानकारी लेख में पाई जा सकती है।