在设备上生成OpenPGP密钥

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

下面的说明解释了如何在Nitrokey上直接生成OpenPGP密钥。这是通过使用GnuPG的命令行界面完成的。因此,你需要在你的系统上安装GnuPG。最新的Windows版GnuPG可以在`这里 <https://www.gpg4win.org/>`__,最新的MacOS版可以在`这里 <https://gpgtools.org/>`__。Linux系统的用户请在软件包管理器的帮助下安装GnuPG。

备注

These instructions are based on GnuPG version 2.2.6 or higher. Some Linux Distributions have an older version installed. In this case please choose a different method as listed here or install a newer version if possible.

密钥生成

下面的描述说明了通过GnuPG的命令行界面在设备上生成基本的密钥。默认行为是生成2048比特大小的RSA密钥。如果你想改变钥匙的算法和长度,请先看看下一节。

打开一个命令行,输入``gpg2 --card-edit``。

要打开 Windows 命令行,请按下 Windows 键和 R 键。现在在文本字段中输入 "cmd.exe",然后按回车键。要在 macOS 或 GNU/Linux 上打开终端,请使用应用程序搜索(例如 macOS 上的 spotlight)。

> gpg2 --card-edit

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

gpg/card>

现在你进入了GnuPG的交互界面。用``admin``激活管理命令,之后用``generate``开始生成密钥。

gpg/card> admin
Admin commands are allowed

gpg/card> generate
Make off-card backup of encryption key? (Y/n) n

Please note that the factory settings of the PINs are
   PIN = '123456'     Admin PIN = '12345678'
You should change them using the command --change-pin

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.

Real name: Jane Doe
Email address: jane@example.com
Comment:
You selected this USER-ID:
"Jane Doe <jane@doecom>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
gpg: key 817E149CA002B92F marked as ultimately trusted
gpg: revocation certificate stored as '/home/nitrokey//.gnupg/openpgp-revocs.d/E62F445E8BB4B5085C031F5381
7E149CA002B92F.rev'
public and secret key created and signed.


gpg/card>
</jane@doe.com></n></n></n></n>

**请不要创建建议的卡外备份。**这种 "备份 "只保存加密密钥,但不保存签名和认证密钥。在设备丢失的情况下,你将无法恢复整个密钥集。因此,一方面,它不是完整的备份(如果你需要,可以使用`这些说明<openpgp-keygen-backup.html>`_代替),另一方面,你有可能被其他人占有你的加密密钥。在设备上生成密钥的好处是确保密钥被安全地存储。因此,我们建议跳过这个半备份。

现在你的设备上有一个完整的密钥集,可以用于我们网站上列出的各种应用程序`<https://www.nitrokey.com/documentation/applications>`__。输入``quit``并点击回车键退出。

改变关键属性

本节是关于改变关键属性的。如果你想使用默认值,你可以继续下一节。

打开一个命令行,输入``gpg2 --card-edit --expert``。

> gpg2 --card-edit --expert

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

现在你进入了GnuPG的交互界面。正如你在上面的 "密钥属性 "字段中看到的,默认值是rsa2048。要改变它们,用``admin``激活管理命令,然后用``key-attr``来改变钥匙的属性。

gpg/card> admin
Admin commands are allowed

gpg/card> key-attr
Changing card key attribute for: Signature key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Encryption key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits
Changing card key attribute for: Authentication key
Please select what kind of key you want:
&nbsp;&nbsp; (1) RSA
&nbsp;&nbsp; (2) ECC
Your selection? 1
What keysize do you want? (2048) 4096
The card will now be re-configured to generate a key of 4096 bits

你可以为每个密钥(即签名、加密和认证密钥)选择属性。大多数人将为每个密钥使用相同的属性。输入``list``以查看结果(请看 "密钥属性 "字段,现在是rsa4096)。

gpg/card> list

Reader ...........: 20A0:4108:0000320E0000000000000000:0
Application ID ...: D27600012401020100050000320E0000
Version ..........: 2.1
Manufacturer .....: ZeitControl
Serial number ....: 0000320E
Name of cardholder: [not set]
Language prefs ...: de
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa4096 rsa4096 rsa4096
Max. PIN lengths .: 32 32 32
PIN retry counter : 3 0 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

输入``quit``,然后点击回车键退出,或者直接进行上一节,用你刚才设置的钥匙属性实际生成钥匙。

下表说明了哪种算法可以在哪种设备上使用。

开始

专业+存储

专业2+存储2

rsa1024

rsa2048

rsa3072

rsa4096

curve25519 (ECC)

NIST (ECC)

脑库(ECC)

secp256k1

导出公钥和钥匙服务器的使用

虽然你可以在你的系统上生成钥匙后立即开始使用你的Nitrokey,但你需要在每个你想使用Nitrokey的系统上导入你的公钥。所以为了做好准备,你有两个选择。你可以把公钥保存在你喜欢的任何地方,然后在另一个系统上使用,或者把公钥保存在一个网页/钥匙服务器上。

生成公钥文件

要获得你的公钥的简单文件,你可以直接使用``gpg2 --armor --export keyID > pubkey.asc``。使用指纹作为 "keyID"(查看``gpg -K``来获得它),或者直接使用你的电子邮件地址作为标识。

你可以随身携带这个文件,或者把它发送给你喜欢的人。这个文件一点也不秘密。如果你想在另一个系统上使用Nitrokey,你首先通过``gpg2 --import pubkey.asc``导入这个公钥,然后输入``gpg2 --card-status``,以便系统知道去哪里寻找这个密钥。这就是全部。

上传公钥

如果你不想随身携带公钥文件,你可以把它上传到钥匙服务器。你可以通过输入``gpg --keyserver search.keyserver.net --send-key keyID``来实现。如果你使用另一台机器,你可以通过使用``gpg --keyserver search.keyserver.net --recv-key keyID``导入它。

另一种方法是更改密钥卡上的 URL 设置。再次启动 gpg -card-edit 并首先通过``url`` 命令设置密钥所在的 URL(例如密钥服务器或你的网页等)。从现在起,你只需在``gpg --card-edit`` 环境中使用``fetch`` 命令,就可以在其他系统中导入密钥。