(出来る限り)安全な PGP 運用について

はじめに

ねらい

安全な鍵運用

Yubikey の活用

所持している Yubikey 4 は鍵生成に脆弱性があるので一工夫する

Yubikey はなくす物であるし鍵を外に出せないので主キーの保管には向いてない

便利だがセキュアに

サブキーの活用

サブキーをメインで使用する

主キーは安全に保管する

USB フラッシュドライブと紙に印刷

金庫に安置

サブキーを各 PC で用いる

Yubikey にも入れておく

構築

Tails を起動します

ネットワークには繋がないでおく

完全に閉鎖された環境でのみマスターキーの秘密鍵をいじる

$ gpg --expert --full-gen-key

ECDSA (機能をあなた自身で設定)

Certify のみ許可

有効期限を設定する意味がないらしいので有効期限は 0(なし)

あとはよしなに

> addkey

署名などに使うサブキーを生やす

好きなだけ

$ gpg --change-pin

PIN と Admin PIN をここで設定する

PIN: 123456

Admin PIN: 12345678

YubiKey Manager の設定はここの設定と違うっぽい…

$ gpg --edit-key (鍵ID)

> select N

キーを選択

> keytocard

Yubikey に置きたい鍵を転送する

$ gpg --armor --export (鍵ID) > pubkey.asc

公開鍵を吐く

オワオワリ

各PCにおけるサブキーの追加

$ gpg --export --edit-key (鍵ID)

> addkey

好きなキーを生やす

$ gpg --with-keygrip --list-key (鍵ID)

鍵の keygrip が出てくる

$ rm $GPGHOME/private-keys-v1.d/(keygrip).key

Yubikey に転送していない鍵があるなら削除する

$ gpg --list-secret-keys

手元に置きたい鍵のみ # がついている状態になってるか確認

Yubikey にあるなら > がついているはず

オワオワリでぃ～す

運用

$ gpg --import pubkey.asc

公開鍵をインポートする

$ gpg --edit-key (鍵ID)

> trust

究極的に信頼しましょう

あとは使うときに PIN 打ったりパスフレーズ打てば良い

おわりに

正しいのか分からん助けて

参照

今日やりたいことは全てここに記述されている

ここ読んでやって

鍵の生成方法について詳しく掲載されている

Yubikey で出来る事について記述されている

GnuPG の仕組みや運用方法について記述されている

GnuPG の安全な運用方法について記述されている

Yubikey で出来る事について記述されている

Yubikey の初期化方法について記述されている

サブキーの運用について記述されている

私のしたい事が記述されている

書き直す上で参考にした情報