YUBIKEY的GPG/PGP使用不完全实践」的摘要信息

最开始,其实不想尝试yubikey的,因为yubikey对GPG/PGP私钥属于只能写入不能导出的设置,况且自己的AIR有没有A口,刚刚2年前打折买的4个YUBIKEY都是A口,嫌麻烦就没有使用。 后来,通过偶然的了解,得知自己可以通过GPG SUITE先行生成几个子钥,然后先行导出私钥备份,然后导出到YUBIKEY,这样就不用担心私钥丢失了,所以本周闲暇时刻,就开始实践YUBICO的GPG/PGP的不完全实践了。 行文前,自己踩的坑要提前说一下,YUBIKEY 5代虽然支持DSA公钥,但是不支持DSA私钥,博主最开始的时候,为了签名内容短一点,采用了DSA签名密钥,导致无法导入到YUBIKEY,害得博主只能重新生成一个新的RSA用于签名的子钥后重新更新了GITHUB和key.jdzhao.com的私钥,全新开始的朋友,可以规避一下这个坑。 完整流程,网上有很多,这里一是为了记录,二是选择重点内容分享给观众。 一、YUBIKEY的PIN和PUK 值得注意的时,用于GPG的PIN和在YUBIKEY MANAGER软件里面的PIV的PIN和PUK是不同的概念,他们彼此都独立的,不要混淆。 我们准备使用YUBIKEY用于GPG时,要通过命令行工具修改USERPIN(用于日常签名和加密)、ADMINPIN(用于私钥的导入),PUK(用于PIN锁定后的重置)。 我们在命令行模式下,通过gpg –edit-key进入yubikey的操作界面,这里是help的截图。 通过输入admin,进入管理员界面, 就能看到一下的操作命令 建议输入passwd,修改PIN、ADMIN PIN,以便私钥的修改和签名的安全。 二、关于GPG/PGP密钥的生成 为了能让我们有机会备份,我们选择第三方生成私钥再导入的方式进行。mac系统可以使用gpg suite,windows系统建议使用gpg4win两款...