私の現在の設定は次のとおりです。
sec# rsa4096/E97E8047 2016-07-18 [C]
uid [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb> rsa2048/65F03C8F 2016-07-18 [S]
ssb> rsa2048/3DC1E49C 2016-07-18 [E]
ssb> rsa2048/7AD1E9A1 2016-07-18 [A]
要するに:
- マスターキー w. USB ドライブに保存された認証機能 (インターネットを使用しない livecd セッションからのアクセスのみ)
- 認証、署名、および暗号化機能を備えた3 つのサブキー。yubikey に保存され、常にアタッチされるか、キーリングに格納されます。
私が理解しているように、マスターキーがないと他のGPGキーに署名できません。では、GPG 鍵署名パーティーに参加するにはどうすればよいでしょうか? 大切なマスターキーを持って旅行せずに?
マスターキーを保護するために何ができるでしょうか?
- yubikey に移動しようとしましたが、失敗しました (S、E、または A の機能がないためです。トリックがありませんか?
- 他に使用できるデバイスはありますか?
- サーバーに接続された HSM にマスター キーを配置し、yubikey のサブキーとリモート署名キーによって認証された SSH 経由で接続できますか? もしそうなら、どのハードウェアがGPGマスターキーを保持できますか?
これまでのところ、私の唯一の選択肢は、USB キーでマスター キーを携帯し、キー署名パーティーに出席するときに livecd を起動することです。
注: 利便性は重要です。私の側のコンプライアンスが不十分なため、不便な手順は重大なセキュリティリスクです:)