OpenPGP võtme genereerimine seadmes#

(Nitrokey Storage 2 - macOS)

Järgnevad juhised selgitavad OpenPGP-võtmete genereerimist otse Nitrokey’s. Selleks kasutatakse GnuPG käsurea liidest. Seega peab teie süsteemi olema installeeritud GnuPG. Uuema GnuPG versiooni Windowsile leiab ` siit <https://www.gpg4win.org/>`_ ja uuema versiooni MacOSile leiab ` siit <https://gpgtools.org/>`_. Linuxi süsteemide kasutajatel palume GnuPG paigaldada paketihalduri abil.

Märkus

Need juhised põhinevad GnuPG versioonil 2.2.6 või uuemal. Mõnes Linuxi distributsioonis on installeeritud vanem versioon. Sellisel juhul valige palun teistsugune meetod, nagu on loetletud ` siin <openpgp.html>`_ või installige võimalusel uuem versioon.

Võtme genereerimine#

Järgnevad kirjeldused selgitavad põhilisi võtmete genereerimist seadmes GnuPG käsurea liidese kaudu. Vaikimisi genereeritakse 2048-bitiseid RSA-võtmeid. Kui soovite võtme algoritmi ja pikkust muuta, vaadake kõigepealt järgmist jaotist.

Avage käsurea ja kirjutage gpg2 --card-edit.

Windowsi käsurea avamiseks vajutage Windows-klahvi ja R-klahvi. Nüüd kirjuta tekstiväljale ‚cmd.exe‘ ja vajuta enter. MacOS-i või GNU/Linuxi terminali avamiseks kasutage rakenduste otsingut (nt macOS-i puhul spotlight).

> gpg2 --card-edit

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

gpg/card>

Nüüd olete GnuPG interaktiivses kasutajaliideses. Aktiveerige administraatori käsud admin<x> ja kasutage seejärel generate, et alustada võtmete genereerimist.

gpg/card> admin
Admin commands are allowed

gpg/card> generate
Make off-card backup of encryption key? (Y/n) n

Please note that the factory settings of the PINs are
   PIN = '123456'     Admin PIN = '12345678'
You should change them using the command --change-pin

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.

Real name: Jane Doe
Email address: jane@example.com
Comment:
You selected this USER-ID:
"Jane Doe <jane@doecom>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
gpg: key 817E149CA002B92F marked as ultimately trusted
gpg: revocation certificate stored as '/home/nitrokey//.gnupg/openpgp-revocs.d/E62F445E8BB4B5085C031F5381
7E149CA002B92F.rev'
public and secret key created and signed.


gpg/card>
</jane@doe.com></n></n></n></n>

Palun, ärge looge soovitatud kaardivälist varukoopiat. See „varukoopia“ salvestab ainult krüpteerimisvõtme, kuid mitte allkirja- ja autentimisvõtmeid. Seadme kadumise korral ei saa te kogu võtmekomplekti taastada. Nii et ühest küljest ei ole see täielik varukoopia (kasutage selle asemel toodud juhiseid, kui teil on seda vaja) ja teisest küljest riskite sellega, et keegi teine võib teie krüpteerimisvõtme enda valdusesse saada. Seadmesisese võtmete genereerimise eelis on see, et võtmeid hoitakse turvaliselt. Seetõttu soovitame selle pooleldi varundamise vahele jätta.

Nüüd on teil seadmes täielik võtmekomplekt, mida saab kasutada meie veebilehel loetletud mitmesuguste rakenduste jaoks. Sisestage quit ja vajutage väljumiseks enter.

Muuda peamisi atribuute#

Selles jaotises käsitletakse võtmeatribuutide muutmist. Kui soovite kasutada vaikeväärtusi, võite jätkata järgmises jaotises.

Avage käsurea ja kirjutage gpg2 --card-edit --expert.

> gpg2 --card-edit --expert

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Nüüd olete GnuPG interaktiivses kasutajaliideses. Nagu te näete ülalpool „Key attributes“ väljal, on vaikimisi määratud väärtus rsa2048. Nende muutmiseks aktiveerige administraatori käsud admin ja kasutage seejärel key-attr võtmete atribuutide muutmiseks.

gpg/card> admin
Admin commands are allowed

gpg/card> key-attr
Changing card key attribute for: Signature key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Encryption key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Authentication key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits

Saate valida iga võtme (st allkirja, krüpteerimis- ja autentimisvõtme) atribuudi. Enamik inimesi kasutab iga võtme jaoks samu atribuute. Kirjutage list, et näha tulemusi (vaadake välja „Key attributes“, kus nüüd on kirjas rsa4096).

gpg/card> list

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa4096 rsa4096 rsa4096
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Sisestage quit ja vajutage enterit, et väljuda või jätkake otse eelmises jaotises, et tegelikult genereerida võtmed võtme atribuutidega, mille te just määrasite.

Järgmine tabel näitab, millist algoritmi saab millises seadmes kasutada.

Start

Pro + ladustamine

Pro 2 + Storage 2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519 (ECC)

NIST (ECC)

Brainpool (ECC)

secp256k1

Avaliku võtme eksportimine ja võtmeserveri kasutamine#

Kuigi võite alustada Nitrokey kasutamist kohe pärast võtmete genereerimist oma süsteemis, peate importima oma avaliku võtme igasse süsteemi, kus soovite Nitrokey’t kasutada. Seega on teil valmisolekuks kaks võimalust: Te kas salvestate avaliku võtme kuhugi ja kasutate seda mõnes teises süsteemis või salvestate avaliku võtme veebiportaali/võtmeserverisse.

Avaliku võtme faili genereerimine#

Oma avaliku võtme lihtsa faili saamiseks võite lihtsalt kasutada gpg2 --armor --export keyID > pubkey.asc. Kasutage kas sõrmejälge kui „keyID“ (vaadake selle saamiseks gpg -K) või kasutage lihtsalt oma e-posti aadressi identifikaatorina.

Võite seda faili endaga kaasas kanda või saata selle kellelegi, kellele soovite. See fail ei ole üldse salajane. Kui sa tahad Nitrokey’t kasutada teises süsteemis, siis impordid selle avaliku võtme kõigepealt gpg2 --import pubkey.asc kaudu ja seejärel sisestad gpg2 --card-status, et süsteem teaks, kust seda võtit otsida. See on kõik.

Avaliku võtme üleslaadimine#

Kui te ei soovi avalikku võtmefaili endaga kaasas kanda, võite selle üles laadida võtmeserverisse. Seda saate teha, kui kirjutate gpg --keyserver search.keyserver.net --send-key keyID. Kui te kasutate teist masinat, saate selle lihtsalt importida, kasutades gpg --keyserver search.keyserver.net --recv-key keyID.

Teine võimalus on muuta kaardi URL-i seadistust. Käivitage uuesti gpg -card-edit ja määrake kõigepealt käsuga url<x> URL, kus võti asub (nt võtmeserveril või teie veebilehel jne). Edaspidi saate võtme importida teise süsteemi, kasutades lihtsalt käsku fetch keskkonnas gpg --card-edit.