我的当前设置如下:
sec# rsa4096/E97E8047 2016-07-18 [C]
uid [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb> rsa2048/65F03C8F 2016-07-18 [S]
ssb> rsa2048/3DC1E49C 2016-07-18 [E]
ssb> rsa2048/7AD1E9A1 2016-07-18 [A]
简而言之:
- 大师键W。认证功能,存储在USB驱动器上(仅在没有互联网的Livecd会话中访问(
- 3个带有 authenticate ,签名和加密功能的子键,存储在Yubikey上,始终附加或在我的钥匙环上。
据我了解,没有我的主密钥,我无法签署其他GPG键。那么我如何参加GPG密钥签名派对呢?不用我宝贵的主钥匙旅行?
我可以采取什么措施来保护我的主密钥?
- 我尝试将其移至Yubikey,但失败了(因为它没有S,E或功能。我错过了一个技巧吗?
- 我还可以使用其他设备吗?
- 我可以将主密钥放在连接到服务器的HSM上,并通过由Yubikey上的子键认证的SSH连接到它,然后将远程符号键连接到它?如果是这样,什么硬件可以容纳GPG主密钥?
到目前为止,我唯一的选择似乎是在USB键上带上主密钥,并在参加密钥签名方时启动LiveCD。
注意:便利很重要。不便的程序是一个重大的安全风险,因为我对我的依从性不佳:(
通常,您通常会在活动结束后获得按键签名方中所有键的副本,这将是在线提供的pubring.gpg
或pubring.kbx
,或在截止日期后通过电子邮件发送给每个参与者,以进行注册,或活动结束后。
活动期间:
- 您不带任何PGP密钥。
- 只是您的护照或其他形式以识别。
- 可选地用您自己的UID/电子邮件和钥匙指纹纸,以确保其他人正在验证您的实际钥匙而不是某人。
(将您的电子邮件和PGP指纹在您的名片上非常有用(
因此,您在回家时签名钥匙,有安全的环境,并将其邮寄到您在聚会期间确认的UID(以加密形式(。
有一些工具可以自动化党派签署过程以及聚会前后的准备工作,有关Linux,请参见pius
1和signing-party
2。
我的大多数主密钥都有[SCEA]
和子键,并且我能够将主键移至SmartCard的签名插槽(Yubikey Neo
和Yubikey 4
都适用于此(,同时使用子键进行日常使用。