OpenPGP atslēgas ģenerēšana ierīcē#
`Nitrokey U2F <x id=“14“></x><x id=“66“></x> |
|||||||
---|---|---|---|---|---|---|---|
✓ |
⨯ |
⨯ |
⨯ |
⨯ |
✓ |
✓ |
✓ |
Turpmāk sniegti norādījumi par OpenPGP atslēgu ģenerēšanu tieši Nitrokey. Tas tiek darīts, izmantojot GnuPG komandrindas saskarni. Tādējādi jūsu sistēmā ir jābūt instalētam GnuPG. Jaunāko GnuPG versiju operētājsistēmai Windows var atrast šeit un jaunāko versiju operētājsistēmai MacOS var atrast šeit. Linux sistēmu lietotājus lūdzam instalēt GnuPG, izmantojot pakešu pārvaldnieku.
Piezīme
These instructions are based on GnuPG version 2.2.6 or higher. Some Linux Distributions have an older version installed. In this case please choose a different method as listed here or install a newer version if possible.
Atslēgu ģenerēšana#
Tālāk sniegts apraksts par pamatatslēgu ģenerēšanu ierīcē, izmantojot GnuPG komandrindas saskarni. Pēc noklusējuma tiek ģenerētas 2048 bitu lieluma RSA atslēgas. Ja vēlaties mainīt atslēgas algoritmu un garumu, vispirms apskatiet nākamo sadaļu.
Atveriet komandrindu un ievadiet gpg2 --card-edit
.
To open the Windows command line please push the Windows-key and R-key. Now type ‘cmd.exe’ in the text field and hit enter. To open a Terminal on macOS or GNU/Linux please use the application search (e.g. spotlight on macOS).
> gpg2 --card-edit
Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
gpg/card>
Tagad atrodaties GnuPG interaktīvajā saskarnē. Aktivizējiet administratora komandas ar admin
un pēc tam izmantojiet </x>`generate
, lai sāktu atslēgu ģenerēšanu.
gpg/card> admin
Admin commands are allowed
gpg/card> generate
Make off-card backup of encryption key? (Y/n) n
Please note that the factory settings of the PINs are
PIN = '123456' Admin PIN = '12345678'
You should change them using the command --change-pin
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y
GnuPG needs to construct a user ID to identify your key.
Real name: Jane Doe
Email address: jane@example.com
Comment:
You selected this USER-ID:
"Jane Doe <jane@doecom>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
gpg: key 817E149CA002B92F marked as ultimately trusted
gpg: revocation certificate stored as '/home/nitrokey//.gnupg/openpgp-revocs.d/E62F445E8BB4B5085C031F5381
7E149CA002B92F.rev'
public and secret key created and signed.
gpg/card>
</jane@doe.com></n></n></n></n>
Lūdzu, neveidojiet ieteikto rezerves kopiju ārpus kartes. Šī „rezerves kopija“ saglabā tikai šifrēšanas atslēgu, bet ne paraksta un autentifikācijas atslēgas. Ierīces nozaudēšanas gadījumā jūs nevarēsiet atjaunot visu atslēgu komplektu. Tātad, no vienas puses, tā nav pilnīga dublējumkopija (tās vietā izmantojiet šīs instrukcijas, ja jums tā ir nepieciešama), un, no otras puses, jūs riskējat, ka jūsu šifrēšanas atslēga var nonākt kāda cita rīcībā. Priekšrocība, ka atslēgas tiek ģenerētas ierīcē, ir pārliecināties, ka atslēgas tiek glabātas droši. Tāpēc mēs iesakām izlaist šo pusi no dublēšanas.
Tagad jūsu ierīcē ir pilnīgs atslēgu komplekts, ko var izmantot dažādām lietojumprogrammām, kas uzskaitītas mūsu vietnē. Ierakstiet quit
un nospiediet enter, lai izietu.
Mainīt galvenos atribūtus#
Šajā sadaļā ir aprakstīta galveno atribūtu maiņa. Ja vēlaties izmantot noklusējuma vērtības, varat doties uz nākamo sadaļu.
Atveriet komandrindu un ievadiet gpg2 --card-edit --expert
.
> gpg2 --card-edit --expert
Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
Tagad atrodaties GnuPG interaktīvajā saskarnē. Kā redzat laukā „Atslēgas atribūti“, ir iestatīta noklusējuma vērtība rsa2048. Lai tos mainītu, aktivizējiet administratora komandas ar admin
un pēc tam izmantojiet key-attr
, lai mainītu atslēgu atribūtus.
gpg/card> admin
Admin commands are allowed
gpg/card> key-attr
Changing card key attribute for: Signature key
Please select what kind of key you want:
(1) RSA
(2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Encryption key
Please select what kind of key you want:
(1) RSA
(2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Authentication key
Please select what kind of key you want:
(1) RSA
(2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Katrai atslēgai (t. i., paraksta, šifrēšanas un autentifikācijas atslēgai) var izvēlēties atribūtu. Lielākā daļa cilvēku katrai atslēgai izmantos vienus un tos pašus atribūtus. Ierakstiet list
, lai redzētu rezultātus (apskatiet lauku „Atslēgas atribūti“, kurā tagad lasāms rsa4096).
gpg/card> list
Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa4096 rsa4096 rsa4096
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
Ierakstiet quit
un nospiediet enter, lai izietu, vai turpiniet tieši iepriekšējo sadaļu, lai faktiski ģenerētu atslēgas ar tikko iestatītajiem atslēgas atribūtiem.
Tālāk tabulā ir parādīts, kuru algoritmu var izmantot kurā ierīcē.
Sākt |
Pro + uzglabāšana |
Pro 2 + krātuve 2 |
|
---|---|---|---|
rsa1024 |
✓ |
✓ |
|
rsa2048 |
✓ |
✓ |
✓ |
rsa3072 |
✓ |
✓ |
|
rsa4096 |
✓ |
✓ |
|
Curve25519 (ECC) |
✓ |
||
NIST (ECC) |
✓ |
✓ |
|
Brainpool (ECC) |
✓ |
||
secp256k1 |
✓ |
Publiskās atslēgas eksportēšana un atslēgu servera izmantošana#
Lai gan pēc atslēgu ģenerēšanas savā sistēmā Nitrokey varat sākt izmantot uzreiz, publiskā atslēga jāimportē katrā sistēmā, kurā vēlaties izmantot Nitrokey. Lai būtu gatavi, jums ir divas iespējas: Vai nu saglabājat publisko atslēgu jebkurā vēlamajā vietā un izmantojat to citā sistēmā, vai arī saglabājat publisko atslēgu tīmekļa vietnē/atslēgu serverī.
Publiskās atslēgas faila ģenerēšana#
Lai iegūtu vienkāršu publiskās atslēgas failu, varat vienkārši izmantot gpg2 --armor --export keyID > pubkey.asc
. Izmantojiet pirkstu nospiedumu kā „keyID“ (skatiet gpg -K
, lai to iegūtu) vai vienkārši izmantojiet savu e-pasta adresi kā identifikatoru.
Šo failu varat nēsāt līdzi vai nosūtīt jebkuram, kas jums patīk. Šis fails nav slepens. Ja Nitrokey vēlaties izmantot citā sistēmā, vispirms importējiet šo publisko atslēgu, izmantojot gpg2 --import pubkey.asc
, un pēc tam ierakstiet </x>`gpg2 --card-status
, lai sistēma zinātu, kur šo atslēgu meklēt. Tas ir viss.
Publiskās atslēgas augšupielāde#
Ja nevēlaties nēsāt līdzi publisko atslēgas failu, varat to augšupielādēt keyserver. To var izdarīt, ierakstot gpg --keyserver search.keyserver.net --send-key keyID
. Ja izmantojat citu mašīnu, varat to vienkārši importēt, izmantojot gpg --keyserver search.keyserver.net --recv-key keyID
.
Another possibility is to change the URL setting on your card. Start gpg
–card-edit again and first set the URL where the key is situated (e.g. on the keyserver or on your webpage etc.) via the url
command. From now on you can import the key on another system by just using the fetch
command within the gpg --card-edit
environment.