„OpenPGP“ rakto generavimas įrenginyje#

(„Nitrokey Start“ - „macOS“)

The following instructions explain the generation of OpenPGP keys directly on the Nitrokey. This is done by using the command line interface of GnuPG. Thus, you need to have GnuPG installed on your system. The newest GnuPG version for Windows can be found here and the newest version for MacOS can be found here. Users of Linux systems please install GnuPG with help of the package manager.

Pastaba

Šie nurodymai pagrįsti „GnuPG“ 2.2.6 arba naujesne versija. Kai kuriuose „Linux“ distributyvuose įdiegta senesnė versija. Tokiu atveju pasirinkite kitą metodą, kaip nurodyta čia, arba, jei įmanoma, įdiekite naujesnę versiją.

Raktų generavimas#

Toliau pateikiamuose aprašymuose paaiškinamas pagrindinis rakto generavimas įrenginyje per GnuPG komandinės eilutės sąsają. Pagal numatytuosius nustatymus generuojami 2048 bitų dydžio RSA raktai. Jei norite pakeisti rakto algoritmą ir ilgį, pirmiausia peržiūrėkite kitą skyrių.

Atidarykite komandinę eilutę ir įveskite gpg2 --card-edit.

Norėdami atidaryti „Windows“ komandinę eilutę, paspauskite „Windows“ klavišą ir R klavišą. Dabar į teksto laukelį įrašykite „cmd.exe“ ir paspauskite Enter. Norėdami atidaryti terminalą „MacOS“ arba „GNU/Linux“ sistemoje, naudokite programų paiešką (pvz., „Spotlight“ „MacOS“ sistemoje).

> gpg2 --card-edit

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

gpg/card>

Dabar esate interaktyviojoje GnuPG sąsajoje. Suaktyvinkite administratoriaus komandas naudodami admin ir naudokite generate, kad pradėtumėte generuoti raktus.

gpg/card> admin
Admin commands are allowed

gpg/card> generate
Make off-card backup of encryption key? (Y/n) n

Please note that the factory settings of the PINs are
   PIN = '123456'     Admin PIN = '12345678'
You should change them using the command --change-pin

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.

Real name: Jane Doe
Email address: jane@example.com
Comment:
You selected this USER-ID:
"Jane Doe <jane@doecom>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
gpg: key 817E149CA002B92F marked as ultimately trusted
gpg: revocation certificate stored as '/home/nitrokey//.gnupg/openpgp-revocs.d/E62F445E8BB4B5085C031F5381
7E149CA002B92F.rev'
public and secret key created and signed.


gpg/card>
</jane@doe.com></n></n></n></n>

Nesudarykite siūlomos atsarginės kopijos, esančios ne kortelėje. Šioje „atsarginėje kopijoje“ išsaugomas tik šifravimo raktas, bet ne parašo ir autentifikavimo raktai. Praradus įrenginį, negalėsite atkurti viso raktų rinkinio. Taigi, viena vertus, tai nėra pilna atsarginė kopija (jei jums reikia, vietoj jos naudokite šiuos nurodymus), kita vertus, rizikuojate, kad šifravimo raktą gali gauti kas nors kitas. Įrenginyje generuojamų raktų privalumas yra tas, kad raktai saugiai saugomi. Todėl rekomenduojame praleisti šį pusiau rezervinį kopijavimą.

Dabar savo prietaise turite visą raktų rinkinį, kurį galite naudoti įvairioms programoms, išvardytoms mūsų svetainėje. Įveskite quit ir paspauskite Enter, kad išeitumėte.

Pakeisti pagrindinius požymius#

Šiame skyriuje aprašoma, kaip keisti pagrindinius atributus. Jei norite naudoti numatytąsias reikšmes, galite pereiti prie kito skyriaus.

Atidarykite komandinę eilutę ir įveskite gpg2 --card-edit --expert.

> gpg2 --card-edit --expert

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Dabar esate interaktyviojoje GnuPG sąsajoje. Kaip matote pirmiau esančiame lauke „Key attributes“ (rakto atributai), nustatyta numatytoji reikšmė rsa2048. Norėdami juos pakeisti, suaktyvinkite administratoriaus komandas naudodami admin ir po to naudokite key-attr, kad pakeistumėte raktų atributus.

gpg/card> admin
Admin commands are allowed

gpg/card> key-attr
Changing card key attribute for: Signature key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Encryption key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Authentication key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits

Galite pasirinkti kiekvieno rakto (t. y. parašo, šifravimo ir autentifikavimo rakto) atributą. Dauguma žmonių kiekvienam raktui naudos tuos pačius atributus. Įveskite list, kad pamatytumėte rezultatus (pažvelkite į lauką „Rakto atributai“, kuriame dabar įrašyta rsa4096).

gpg/card> list

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa4096 rsa4096 rsa4096
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Įveskite quit ir paspauskite Enter, kad išeitumėte, arba pereikite tiesiai prie ankstesnio skyriaus, kad iš tikrųjų sukurtumėte raktus su ką tik nustatytais raktų atributais.

Toliau pateiktoje lentelėje parodyta, kurį algoritmą galima naudoti kuriame įrenginyje.

Pradžia

„Pro + Storage

„Pro 2“ + Storage 2

rsa1024

rsa2048

rsa3072

rsa4096

kreivė25519 (ECC)

NIST (ECC)

„Brainpool“ (ECC)

secp256k1

Viešojo rakto eksportavimas ir Keyserverio naudojimas#

Nors galite pradėti naudoti „Nitrokey“ iš karto po raktų generavimo savo sistemoje, turite importuoti viešąjį raktą į kiekvieną sistemą, kurioje norite naudoti „Nitrokey“. Taigi, norėdami pasiruošti, turite dvi galimybes: Viešąjį raktą galite išsaugoti bet kurioje norimoje vietoje ir naudoti kitoje sistemoje arba išsaugoti viešąjį raktą interneto svetainėje / raktų serveryje.

Viešojo rakto failo generavimas#

Norėdami gauti paprastą savo viešojo rakto failą, galite tiesiog naudoti gpg2 --armor --export keyID > pubkey.asc. Kaip „keyID“ naudokite pirštų atspaudą (pažiūrėkite į gpg -K, kad jį gautumėte) arba tiesiog naudokite savo el. pašto adresą kaip identifikatorių.

Šį failą galite nešiotis su savimi arba siųsti bet kam, kam tik norite. Šis failas visai neslaptas. Jei norite naudoti „Nitrokey“ kitoje sistemoje, pirmiausia importuokite šį viešąjį raktą per gpg2 --import pubkey.asc ir tada įveskite </x>`gpg2 --card-status, kad sistema žinotų, kur ieškoti šio rakto. Tai viskas.

Viešojo rakto įkėlimas#

Jei nenorite su savimi nešiotis viešojo rakto failo, galite jį įkelti į keyserverį. Tai galite padaryti įvesdami gpg --keyserver search.keyserver.net --send-key keyID. Jei naudojate kitą kompiuterį, galite jį tiesiog importuoti naudodami gpg --keyserver search.keyserver.net --recv-key keyID.

Kita galimybė - pakeisti kortelės URL nustatymą. Vėl paleiskite gpg -card-edit ir pirmiausia nustatykite URL adresą, kuriame yra raktas (pvz., raktų serveryje arba jūsų tinklalapyje ir pan.), naudodami komandą url. Nuo šiol raktą į kitą sistemą galite importuoti tiesiog naudodami ``fetch komandą, esančią gpg --card-edit aplinkoje.