मैं अभी भी GPG, SSH, और whatnot के लिए नया हूँ, और मुझे यकीन नहीं है कि सबसे अच्छा अभ्यास क्या है।
मेरे पास एक USB डिवाइस है जो GPG को जेनरेट और होल्ड करने में सक्षम है। SSH कीज़ उनके बिना डिवाइस को छोड़ती हैं। यह स्थानीय मशीन पर आउटपुट के साथ, हस्ताक्षर करने की भी अनुमति देता है।
मैं इस उपकरण की एक कुंजी को अपनी मुख्य कुंजी मानूंगा M
, लेकिन इस उपकरण को दैनिक उपयोग के लिए उपयोग करना असुविधाजनक है। इसलिए मैं A
मास्टर कुंजी द्वारा हस्ताक्षरित एक और कुंजी रखना चाहूंगा , जिसे मैं स्थानीय रूप से रख सकता हूं और सामान्य कार्यों के लिए उपयोग कर सकता हूं। (संभवतः इसे ला ला लॉक करने के लिए एक Yubikey का उपयोग करके )।
चूँकि मुझे लगता है कि "सामान्य तरीका" अभी भी डिवाइस को नहीं छोड़ता है, इसलिए उत्पन्न उपकुंजियों, क्या कोई मानक तरीका है कि मैं A
अपने स्थानीय मशीन पर एक नई कुंजी उत्पन्न कर सकता हूं और फिर इसे उपकुंजी के रूप में हस्ताक्षर कर सकता हूं M
?
संपादित करें
स्पष्ट करने के लिए, विचाराधीन डिवाइस एक Yubikey नहीं है, और इसमें कुंजी को स्थानांतरित नहीं किया जा सकता है। यह ट्रेज़र की तरह किसी फ़ंक्शन में अधिक समान है , जहां चाबियाँ केवल डिवाइस पर उत्पन्न हो सकती हैं, और इसे अंदर या बाहर कॉपी नहीं किया जा सकता है।
Yubikey विधि चोरी होने पर मुझे लगता है कि यह एक अच्छा तरीका है, लेकिन मुझे लगता है कि यह कमजोर है। Trezor जैसी डिवाइस पर प्रमाणीकरण की अतिरिक्त परतें होती हैं, इसलिए चोरी होने पर भी इसका उपयोग नहीं किया जा सकता है। $ 5 रिंच के हमले!
EDIT2 (हालांकि मुझे लगता है कि डिवाइस मैन्युफैक्चरर्स पर भी भरोसा है)