Subchei de decriptare suplimentare (ADSK) cu GnuPG

Nitrokey 3

Nitrokey Passkey

Nitrokey FIDO2

Nitrokey U2F

Nitrokey HSM 2

Nitrokey Pro 2

Nitrokey Start

Nitrokey Storage 2

Additional Decryption Subkeys (ADSK) poate fi folosit pentru a adăuga automat destinatari la criptarea unui mesaj cu GnuPG. Cazurile tipice de utilizare includ

  • existența unei singure chei de criptare pentru un grup, fără a fi necesară partajarea cheii private între membrii grupului,

  • adăugarea unei chei de rezervă la o cheie de criptare și

  • stabilirea unei chei principale care poate decripta mesaje pentru alte chei.

Notă

Pentru a configura un ADSK, aveți nevoie de GnuPG 2.4.1 sau o versiune mai nouă. Pentru a cripta un mesaj pentru o cheie cu o ADSK, aveți nevoie de GnuPG 2.2.42 sau o versiune mai nouă.

Prezentare generală

Acest ghid explică modul în care se adaugă o cheie de rezervă (ID utilizator backup@example.com) ca ADSK la o cheie principală (ID utilizator main@example.com). Ambele chei sunt stocate pe o Nitrokey. Aceiași pași pot fi utilizați pentru a adăuga mai multe ADSK la o cheie sau pentru a adăuga aceeași cheie ca ADSK la mai multe alte chei.

Pregătirea cheilor

Urmați unul dintre aceste ghiduri pentru a genera cele două chei:

Asigurați-vă că puteți lista ambele chei cu gpg --list-keys, de exemplu:

$ gpg --list-keys main@example.com backup@example.com
pub   ed25519 2023-07-04 [SC]
      55BC284C1D30D97638DA4A2C7963A4CD00C947CE
uid           [ultimate] Main Key <main@example.com>
sub   ed25519 2023-07-04 [A]
sub   cv25519 2023-07-04 [E]

pub   ed25519 2023-07-04 [SC]
      5271152B531F7FFD8787818251FB75800E281241
uid           [ultimate] Backup Key <backup@example.com>
sub   ed25519 2023-07-04 [A]
sub   cv25519 2023-07-04 [E]

Adăugarea unei ADSK

Determinați mai întâi amprenta digitală a subcheie de criptare pentru cheia de rezervă:

$ gpg --list-keys --with-subkey-fingerprints backup@example.com
pub   ed25519 2023-07-04 [SC]
      5271152B531F7FFD8787818251FB75800E281241
uid           [ultimate] Backup Key <backup@example.com>
sub   ed25519 2023-07-04 [A]
      7AEA1A0EC7BD66FF03AFEFAC8F243D8EC7678FCC
sub   cv25519 2023-07-04 [E]
      C1735CB29890EEDEABCF1D0DC9310F81D77519BC

Căutați linia care începe cu sub și care conține litera E, indicând o subcheie cu capacitate de criptare. Amprenta acestei subclave este listată în rândul următor. În acest caz, amprenta este C1735CB29890EEDEABCF1D0DC9310F81D77519BC.

Apoi se determină amprenta digitală a cheii principale:

$ gpg --list-keys main@example.com
pub   ed25519 2023-07-04 [SC]
      55BC284C1D30D97638DA4A2C7963A4CD00C947CE
uid           [ultimate] Main Key <main@example.com>
sub   ed25519 2023-07-04 [A]
sub   cv25519 2023-07-04 [E]

Îl puteți găsi în următoarea linie după pub, în acest caz 55BC284C1D30D97638DA4A2C7963A4CD00C947CE.

Acum puteți adăuga ADSK folosind steagul --quick-add-adsk:

$ gpg --quick-add-adsk \
      55BC284C1D30D97638DA4A2C7963A4CD00C947CE \
      C1735CB29890EEDEABCF1D0DC9310F81D77519BC

Primul argument este amprenta digitală a cheii principale. Al doilea argument este amprenta digitală a subcheie de criptare a cheii de rezervă.

Puteți verifica dacă ADSK a fost creat:

$ gpg --list-keys --with-subkey-fingerprints main@example.com
pub   ed25519 2023-07-04 [SC]
      55BC284C1D30D97638DA4A2C7963A4CD00C947CE
uid           [ultimate] Main Key <main@example.com>
sub   ed25519 2023-07-04 [A]
      9DF42A789DA4E848295C529634E35A6897DFABFD
sub   cv25519 2023-07-04 [E]
      1DFD6EA8D8B88BEA063ADB4BD75708BAF0CD49C8
sub   cv25519 2023-07-04 [R]
      C1735CB29890EEDEABCF1D0DC9310F81D77519BC

Subcheia cu capacitatea R (restricționată) este ADSK. Aceasta are aceeași amprentă digitală ca și subcheia de criptare a cheii de rezervă.

Acum puteți distribui cheia publică cu ADSK.

Utilizarea unei ADSK

La criptarea unui mesaj pentru cheia principală, cheia de rezervă este acum adăugată automat ca destinatar. Singurele cerințe în acest sens sunt:

  • Expeditorul mesajului are o cheie publică actualizată care include ADSK.

  • Expeditorul mesajului utilizează GnuPG 2.2.42 sau o versiune mai nouă.

Dacă adăugați indicatorul --verbose, puteți verifica cheile cu care este criptat mesajul:

$ echo message | gpg --verbose --encrypt --armor --recipient main@example.com > /tmp/msg.asc
gpg: using pgp trust model
gpg: using subkey D75708BAF0CD49C8 instead of primary key 7963A4CD00C947CE
gpg: automatically retrieved 'main@example.com' via Local
gpg: This key belongs to us
gpg: reading from '[stdin]'
gpg: writing to stdout
gpg: ECDH/AES256 encrypted for: "D75708BAF0CD49C8 Main Key <main@example.com>"
gpg: ECDH/AES256 encrypted for: "C9310F81D77519BC Main Key <main@example.com>"

De asemenea, puteți utiliza opțiunea --list-packets pentru a verifica un mesaj criptat:

$ gpg --pinentry-mode cancel --list-packets /tmp/msg.asc | grep "pubkey enc packet"
:pubkey enc packet: version 3, algo 18, keyid D75708BAF0CD49C8
:pubkey enc packet: version 3, algo 18, keyid C9310F81D77519BC

Fiecare linie pubkey enc packet reprezintă o cheie care poate decripta mesajul.

Revocarea unei ADSK

Dacă revocați un ADSK, acesta nu va mai fi adăugat ca destinatar la criptarea unui mesaj. Pentru a efectua o revocare, deschideți cheia cu gpg --edit-key:

$ gpg --edit-key main@example.com

sec  ed25519/7963A4CD00C947CE
     created: 2023-07-04  expires: never       usage: SC
     card-no: FFFE 5E0E868D
     trust: ultimate      validity: ultimate
ssb  ed25519/34E35A6897DFABFD
     created: 2023-07-04  expires: never       usage: A
     card-no: FFFE 5E0E868D
ssb  cv25519/D75708BAF0CD49C8
     created: 2023-07-04  expires: never       usage: E
     card-no: FFFE 5E0E868D
ssb  cv25519/C9310F81D77519BC
     created: 2023-07-04  expires: never       usage: R
[ultimate] (1). Main Key <main@example.com>

Selectați cheia secundară care urmează să fie revocată cu key N. Subcheia selectată este marcată cu un asterisc:

gpg> key 2

sec  ed25519/7963A4CD00C947CE
     created: 2023-07-04  expires: never       usage: SC
     card-no: FFFE 5E0E868D
     trust: ultimate      validity: ultimate
ssb  ed25519/34E35A6897DFABFD
     created: 2023-07-04  expires: never       usage: A
     card-no: FFFE 5E0E868D
ssb  cv25519/D75708BAF0CD49C8
     created: 2023-07-04  expires: never       usage: E
     card-no: FFFE 5E0E868D
ssb* cv25519/C9310F81D77519BC
     created: 2023-07-04  expires: never       usage: R
[ultimate] (1). Main Key <main@example.com>

Revocați cheia secundară cu revkey și apoi salvați modificările cu save:

gpg> revkey
Do you really want to revoke this subkey? (y/N) y
Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
Your decision? 0
Enter an optional description; end it with an empty line:
>
Reason for revocation: No reason specified
(No description given)
Is this okay? (y/N) y


sec  ed25519/7963A4CD00C947CE
     created: 2023-07-04  expires: never       usage: SC
     card-no: FFFE 5E0E868D
     trust: ultimate      validity: ultimate
ssb  ed25519/34E35A6897DFABFD
     created: 2023-07-04  expires: never       usage: A
     card-no: FFFE 5E0E868D
ssb  cv25519/D75708BAF0CD49C8
     created: 2023-07-04  expires: never       usage: E
     card-no: FFFE 5E0E868D
ssb  cv25519/C9310F81D77519BC
     created: 2023-07-04  revoked: 2023-07-04  usage: R
[ultimate] (1). Main Key <main@example.com>

gpg> save

Acum distribuiți cheia publică actualizată.

Notă

Revocarea va intra în vigoare numai după ce expeditorul a actualizat cheia publică cu ADSK revocată. Mesajele care au fost deja criptate pot fi în continuare decriptate cu ADSK chiar dacă aceasta este revocată.