Generowanie klucza OpenPGP przy użyciu GPA

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

The following instructions explain the generation of OpenPGP keys directly on the Nitrokey with help of the GNU Privacy Assistant (GPA). You won’t be able to create a backup of these keys. Thus, if you lose the Nitrokey or it breaks you can not decrypt mails or use these keys anymore. Please see here for a comparison of the different methods to generate OpenPGP keys.

You need to have GnuPG and GPA installed on your system. The newest version for Windows can be found here (make sure to check “GPA” during the installation!). Users of Linux systems please install GnuPG and GPA with help of the package manager (e.g. using sudo apt install gnupg gpa on Ubuntu).

Generowanie kluczy

Na początku otwórz program GNU Privacy Assistant (GPA). Możesz zostać poproszony o wygenerowanie klucza, możesz na razie pominąć ten krok klikając „Do it later”. W głównym oknie, proszę kliknąć na „Karta” lub „Menedżer kart”.

img1

Otworzy się kolejne okno. Proszę przejść do „Card” -> „Generate key”, aby rozpocząć proces generowania klucza.

img2

Now you can put in your name and the email address you want to use for the key that will be generated next. You may choose an expiration date for your key, but you don’t have to.

Proszę nie używać pola wyboru kopii zapasowej. Ta „kopia zapasowa” zapisuje tylko klucz szyfrowania. W przypadku utraty urządzenia, nie będziesz w stanie przywrócić całego zestawu kluczy. Więc z jednej strony nie jest to pełna kopia zapasowa (użyj ` tych instrukcji <openpgp-keygen-backup.html>`_ zamiast tego, jeśli potrzebujesz), a z drugiej strony ryzykujesz, że ktoś inny może wejść w posiadanie twojego klucza szyfrowania. Zaletą generowania kluczy na urządzeniu jest pewność, że klucze są przechowywane w bezpieczny sposób. Dlatego zalecamy pominięcie tej części kopii zapasowej.

img3

Zostaniesz poproszony o podanie kodu PIN administratora (domyślnie: 12345678) oraz kodu PIN użytkownika (domyślnie: 123456). Po zakończeniu generowania kluczy w dolnej części okna widoczne są odciski palców kluczy. Możesz wypełnić pola pokazane powyżej, które są również zapisane na Twoim Nitrokey.

img4

Teraz możesz zamknąć to okno i wrócić do okna głównego. Po odświeżeniu Twój klucz będzie widoczny w menedżerze kluczy. Każda aplikacja korzystająca z GnuPG będzie działała z Twoim Nitrokey, ponieważ GnuPG jest w pełni świadomy faktu, że klucze są przechowywane na Twoim Nitrokey.

img5

Eksportowanie klucza publicznego i użycie Keyservera

Chociaż możesz zacząć używać Nitrokey od razu po wygenerowaniu kluczy w Twoim systemie, musisz zaimportować swój klucz publiczny na każdym systemie, na którym chcesz używać Nitrokey. Aby być przygotowanym masz dwie opcje: albo zapisujesz klucz publiczny gdziekolwiek chcesz i używasz go na innym systemie, albo zapisujesz klucz publiczny na stronie internetowej/serwerze kluczy.

img6

Kliknij prawym przyciskiem myszy na wpis klucza w menedżerze kluczy i kliknij „Export Keys…”, aby wyeksportować klucz publiczny do pliku i/lub „Send Keys…”, aby przesłać klucz do serwera kluczy.

Możesz nosić plik kluczowy przy sobie lub wysłać go do kogokolwiek chcesz. Ten plik nie jest w ogóle tajny. Jeśli chcesz używać Nitrokey na innym systemie, musisz najpierw zaimportować ten klucz publiczny klikając na „Klucze” -> „Import kluczy…” i wybierając plik.

Jeśli nie chcesz nosić ze sobą pliku klucza publicznego, możesz go przesłać do keyservera. Jeśli używasz innego komputera, możesz po prostu zaimportować go za pomocą „Server” -> „Retrieve Keys…” i wpisać swoją nazwę lub id klucza.

Another possibility is to change the URL setting on your card. Open the card manager again and fill in the URL where the key is situated (e.g. on the keyserver or on your webpage etc.). From now on you can import the key on another system by right-clicking on the URL and click on “Fetch Key”.

img7