Моя текущая настройка выглядит следующим образом:
sec# rsa4096/E97E8047 2016-07-18 [C]
uid [ultimate] Jonas Finnemann Jensen <[email protected]>
uid [ultimate] Jonas Finnemann Jensen <[email protected]>
uid [ultimate] Jonas Finnemann Jensen <[email protected]>
ssb> rsa2048/65F03C8F 2016-07-18 [S]
ssb> rsa2048/3DC1E49C 2016-07-18 [E]
ssb> rsa2048/7AD1E9A1 2016-07-18 [A]
Вкратце:
- Мастер-ключ ж. Возможность сертифицировать, хранящаяся на USB-накопителе (доступ только из сеансов livecd без Интернета)
- 3 подключаемых ключа с возможностями аутентификации, подписания и шифрования, хранящиеся на юби-ключе, всегда прикрепленном или в моей связке ключей.
Насколько я понимаю, я не могу подписывать другие GPG-ключи без своего мастер-ключа. Итак, как мне посетить вечеринку по подписанию ключей GPG? Без путешествия с моей драгоценной отмычкой?
Что я могу сделать, чтобы защитить свой мастер-ключ?
- Я попытался переместить его на юби-ключ, но это не удалось (потому что у него нет возможностей S, E или A. Я упустил какой-то трюк?
- Есть ли другие устройства, которые я мог бы использовать?
- Могу ли я поместить свой мастер-ключ на HSM, подключенный к серверу, и подключиться к нему через SSH, аутентифицированный с помощью подключа на моем yubikey, а затем удаленных ключей подписи? Если да, то какое оборудование может содержать главный ключ GPG?
Пока что мой единственный вариант, похоже, заключается в том, чтобы взять с собой мастер-ключ на USB-ключ и загрузить livecd при посещении вечеринки по подписанию ключей.
Примечание: важно удобство. Неудобные процедуры представляют собой значительный риск для безопасности из-за несоблюдения требований с моей стороны :)