問題タブ [yubico]

私の現在の設定は次のとおりです。

要するに：

• マスターキー w. USB ドライブに保存された認証機能 (インターネットを使用しない livecd セッションからのアクセスのみ)
• 認証、署名、および暗号化機能を備えた3 つのサブキー。yubikey に保存され、常にアタッチされるか、キーリングに格納されます。

私が理解しているように、マスターキーがないと他のGPGキーに署名できません。では、GPG 鍵署名パーティーに参加するにはどうすればよいでしょうか? 大切なマスターキーを持って旅行せずに?

マスターキーを保護するために何ができるでしょうか?

• yubikey に移動しようとしましたが、失敗しました (S、E、または A の機能がないためです。トリックがありませんか?
• 他に使用できるデバイスはありますか？
• サーバーに接続された HSM にマスター キーを配置し、yubikey のサブキーとリモート署名キーによって認証された SSH 経由で接続できますか? もしそうなら、どのハードウェアがGPGマスターキーを保持できますか?

これまでのところ、私の唯一の選択肢は、USB キーでマスター キーを携帯し、キー署名パーティーに出席するときに livecd を起動することです。

注: 利便性は重要です。私の側のコンプライアンスが不十分なため、不便な手順は重大なセキュリティリスクです:)

docker、Notary 0.4.3、および yubico-piv-tool 1.5.0 で Ubuntu 16 LTS を実行しています。piv ツールは yubokey で動作し、証明書を作成して yubikey にインポートすることもできます。公証人も問題なく動作しますが、yubikey に気付いていないようです。

yubikey-piv-tools 1.4.0 にダウングレードすると、次のようなパニック レポートが表示されます。