GPG и Yubikey
Товарищи, такой вопрос. GnuPG пользуюсь давно, есть ключ, которым пользуюсь несколько лет. Задумался, чтобы перенести его на смарт-карту (Yubikey) – для удобства и безопасности.
Начал читать про это дело, и пишут что там три слота – ключ для подписи, шифрования и авторизации. Вопрос в том, что у меня главный ключ имеет атрибуты SCEA, подключ – SEA. В руководствах, которые нашел в сети – практически во всех создают главный ключ для подписи и сертификации (SC), и три отдельных ключа – для подписи (S), шифрования (E) и авторизации (A), главный ключ прячут где-то в оффлайне, а три подключа загружают на смарткарту.
Вот и думаю как быть мне. Можно ли мастер-ключ (который у меня SCEA) хранить на смарт-карте? Если да – то в каком слоте? И в какой слот поместить подключ? Если мастер-ключ будет в слоте для подписи, а подключ – в слоте для шифрования, это будет ок? Смогу ли я расшифровывать файлы, которые были зашифрованы для моего ключа до этого?
Заранее спасибо за помощь.
P.S. Сейчас попробовал зашифровать файл и подписать файл – похоже на то, что GPG использует подключ для этих операций. Значит ли это, что нужно записать его во все 3 слоты на карте, а главный ключ где то хранить в безопасном месте?
комментариев: 11558 документов: 1036 редакций: 4118
Главный ключ — это ключ сертификации, принципиальным для него является атрибут C, остальные не имеют значения. В идеале, его стоит хранить в офлайне.
Для шифрования и подписи желательно (с точки зрения операционной безопасности) использовать отдельные подключи. Никто не мешает вам аннулировать существующий SEA-подключ и создать новые с индивидуальными атрибутами S и E (A используется для аутентификации по ssh, решайте сами, насколько это вам нужно) и поместить в соответствующие слоты.