OpenPGP atslēgas ģenerēšana ierīcē#

(Nitrokey Pro 2 - macOS)

The following instructions explain the generation of OpenPGP keys directly on the Nitrokey. This is done by using the command line interface of GnuPG. Thus, you need to have GnuPG installed on your system. The newest GnuPG version for Windows can be found here and the newest version for MacOS can be found here. Users of Linux systems please install GnuPG with help of the package manager.

Piezīme

Šie norādījumi ir balstīti uz GnuPG 2.2.6 vai jaunāku versiju. Dažās Linux distributīvos ir instalēta vecāka versija. Šādā gadījumā, lūdzu, izvēlieties citu metodi, kā norādīts šeit, vai instalējiet jaunāku versiju, ja iespējams.

Atslēgu ģenerēšana#

Tālāk sniegts apraksts par pamatatslēgu ģenerēšanu ierīcē, izmantojot GnuPG komandrindas saskarni. Pēc noklusējuma tiek ģenerētas 2048 bitu lieluma RSA atslēgas. Ja vēlaties mainīt atslēgas algoritmu un garumu, vispirms apskatiet nākamo sadaļu.

Atveriet komandrindu un ievadiet gpg2 --card-edit.

Lai atvērtu Windows komandrindu, nospiediet Windows taustiņu un R taustiņu. Tagad teksta laukā ierakstiet „cmd.exe“ un nospiediet Enter. Lai atvērtu termināli operētājsistēmā macOS vai GNU/Linux, izmantojiet lietojumprogrammu meklēšanu (piemēram, spotlight operētājsistēmā macOS).

> gpg2 --card-edit

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

gpg/card>

Tagad atrodaties GnuPG interaktīvajā saskarnē. Aktivizējiet administratora komandas ar admin un pēc tam izmantojiet </x>`generate, lai sāktu atslēgu ģenerēšanu.

gpg/card> admin
Admin commands are allowed

gpg/card> generate
Make off-card backup of encryption key? (Y/n) n

Please note that the factory settings of the PINs are
   PIN = '123456'     Admin PIN = '12345678'
You should change them using the command --change-pin

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.

Real name: Jane Doe
Email address: jane@example.com
Comment:
You selected this USER-ID:
"Jane Doe <jane@doecom>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
gpg: key 817E149CA002B92F marked as ultimately trusted
gpg: revocation certificate stored as '/home/nitrokey//.gnupg/openpgp-revocs.d/E62F445E8BB4B5085C031F5381
7E149CA002B92F.rev'
public and secret key created and signed.


gpg/card>
</jane@doe.com></n></n></n></n>

Lūdzu, neveidojiet ieteikto rezerves kopiju ārpus kartes. Šī „rezerves kopija“ saglabā tikai šifrēšanas atslēgu, bet ne paraksta un autentifikācijas atslēgas. Ierīces nozaudēšanas gadījumā jūs nevarēsiet atjaunot visu atslēgu komplektu. Tātad, no vienas puses, tā nav pilnīga dublējumkopija (tās vietā izmantojiet šīs instrukcijas, ja jums tā ir nepieciešama), un, no otras puses, jūs riskējat, ka jūsu šifrēšanas atslēga var nonākt kāda cita rīcībā. Priekšrocība, ka atslēgas tiek ģenerētas ierīcē, ir tā, ka atslēgas tiek glabātas droši. Tāpēc mēs iesakām izlaist šo pusi no dublēšanas.

Tagad jūsu ierīcē ir pilnīgs atslēgu komplekts, ko var izmantot dažādām lietojumprogrammām, kas uzskaitītas mūsu vietnē. Ierakstiet quit un nospiediet enter, lai izietu.

Mainīt galvenos atribūtus#

Šajā sadaļā ir aprakstīta galveno atribūtu maiņa. Ja vēlaties izmantot noklusējuma vērtības, varat doties uz nākamo sadaļu.

Atveriet komandrindu un ievadiet gpg2 --card-edit --expert.

> gpg2 --card-edit --expert

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Tagad atrodaties GnuPG interaktīvajā saskarnē. Kā redzat laukā „Atslēgas atribūti“, ir iestatīta noklusējuma vērtība rsa2048. Lai tos mainītu, aktivizējiet administratora komandas ar admin un pēc tam izmantojiet key-attr, lai mainītu atslēgu atribūtus.

gpg/card> admin
Admin commands are allowed

gpg/card> key-attr
Changing card key attribute for: Signature key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Encryption key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Authentication key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits

Katrai atslēgai (t. i., paraksta, šifrēšanas un autentifikācijas atslēgai) var izvēlēties atribūtu. Lielākā daļa cilvēku katrai atslēgai izmantos vienus un tos pašus atribūtus. Ierakstiet list, lai redzētu rezultātus (apskatiet lauku „Atslēgas atribūti“, kurā tagad lasāms rsa4096).

gpg/card> list

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa4096 rsa4096 rsa4096
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Ierakstiet quit un nospiediet enter, lai izietu, vai turpiniet tieši iepriekšējo sadaļu, lai faktiski ģenerētu atslēgas ar tikko iestatītajiem atslēgas atribūtiem.

Tālāk tabulā ir parādīts, kuru algoritmu var izmantot kurā ierīcē.

Sākt

Pro + uzglabāšana

Pro 2 + krātuve 2

rsa1024

rsa2048

rsa3072

rsa4096

Curve25519 (ECC)

NIST (ECC)

Brainpool (ECC)

secp256k1

Publiskās atslēgas eksportēšana un atslēgu servera izmantošana#

Lai gan pēc atslēgu ģenerēšanas savā sistēmā Nitrokey varat sākt izmantot uzreiz, publiskā atslēga jāimportē katrā sistēmā, kurā vēlaties izmantot Nitrokey. Lai būtu gatavi, jums ir divas iespējas: Vai nu saglabājat publisko atslēgu jebkurā vēlamajā vietā un izmantojat to citā sistēmā, vai arī saglabājat publisko atslēgu tīmekļa vietnē/atslēgu serverī.

Publiskās atslēgas faila ģenerēšana#

Lai iegūtu vienkāršu publiskās atslēgas failu, varat vienkārši izmantot gpg2 --armor --export keyID > pubkey.asc. Izmantojiet pirkstu nospiedumu kā „keyID“ (skatiet gpg -K, lai to iegūtu) vai vienkārši izmantojiet savu e-pasta adresi kā identifikatoru.

Šo failu varat nēsāt līdzi vai nosūtīt jebkuram, kas jums patīk. Šis fails nav slepens. Ja Nitrokey vēlaties izmantot citā sistēmā, vispirms importējiet šo publisko atslēgu, izmantojot gpg2 --import pubkey.asc, un pēc tam ierakstiet </x>`gpg2 --card-status, lai sistēma zinātu, kur šo atslēgu meklēt. Tas ir viss.

Publiskās atslēgas augšupielāde#

Ja nevēlaties nēsāt līdzi publisko atslēgas failu, varat to augšupielādēt keyserver. To var izdarīt, ierakstot gpg --keyserver search.keyserver.net --send-key keyID. Ja izmantojat citu mašīnu, varat to vienkārši importēt, izmantojot gpg --keyserver search.keyserver.net --recv-key keyID.

Vēl viena iespēja ir mainīt kartes URL iestatījumu. Palaidiet gpg -card-edit vēlreiz un vispirms iestatiet URL, kurā atrodas atslēga (piemēram, atslēgu serverī vai jūsu tīmekļa vietnē utt.), izmantojot komandu url. Turpmāk atslēgu var importēt citā sistēmā, vienkārši izmantojot ``fetch komandu gpg --card-edit vides ietvaros.