GPG и Yubikey


Товарищи, такой вопрос. GnuPG пользуюсь давно, есть ключ, которым пользуюсь несколько лет. Задумался, чтобы перенести его на смарт-карту (Yubikey) – для удобства и безопасности.

Начал читать про это дело, и пишут что там три слота – ключ для подписи, шифрования и авторизации. Вопрос в том, что у меня главный ключ имеет атрибуты SCEA, подключ – SEA. В руководствах, которые нашел в сети – практически во всех создают главный ключ для подписи и сертификации (SC), и три отдельных ключа – для подписи (S), шифрования (E) и авторизации (A), главный ключ прячут где-то в оффлайне, а три подключа загружают на смарткарту.

Вот и думаю как быть мне. Можно ли мастер-ключ (который у меня SCEA) хранить на смарт-карте? Если да – то в каком слоте? И в какой слот поместить подключ? Если мастер-ключ будет в слоте для подписи, а подключ – в слоте для шифрования, это будет ок? Смогу ли я расшифровывать файлы, которые были зашифрованы для моего ключа до этого?

Заранее спасибо за помощь.

P.S. Сейчас попробовал зашифровать файл и подписать файл – похоже на то, что GPG использует подключ для этих операций. Значит ли это, что нужно записать его во все 3 слоты на карте, а главный ключ где то хранить в безопасном месте?

Комментарии
— SATtva (03/05/2018 19:26, исправлен 03/05/2018 19:27)   

Главный ключ — это ключ сертификации, принципиальным для него является атрибут C, остальные не имеют значения. В идеале, его стоит хранить в офлайне.


Для шифрования и подписи желательно (с точки зрения операционной безопасности) использовать отдельные подключи. Никто не мешает вам аннулировать существующий SEA-подключ и создать новые с индивидуальными атрибутами S и E (A используется для аутентификации по ssh, решайте сами, насколько это вам нужно) и поместить в соответствующие слоты.