Yubikey PGP迁移

Question

我目前正在使用带有我的PGP子项的Yubikey 4。我的主钥匙存放在克莱奥帕特拉里面。

当我计划转移到一个新的Yubikey 5，我已经问自己，它是否还能解密电子邮件与我的新的一对新的尤比基生成的子密钥？

Answer 1

重要的问题是您是如何生成PGP密钥和子键的。

正如在文档中所解释的，有两种方法：

• 从YubiKey外部生成密钥(推荐)
• 直接在YubiKey上生成PGP密钥

建议采用第一种方法。您可以使用实时发行版(如Tails )在空隙(无网络)计算机上生成密钥。然后，将您的密钥备份到可移动存储区，如USB密钥或硬盘驱动器，并将其保存在安全的位置。

另一种选择是直接在设备上生成密钥。这是非常安全的，但主要的缺点是，您不能备份密钥。如果你丢失或破坏了设备，你就会丢失你的钥匙。使用这种方法，移徙是不可能的。这个选项应该避免，除非你知道你的钥匙将有一个有限的保质期。

因此，如果您选择了选项1，这是相当容易的。你不需要旧的YubiKey。启动您的实时发行版，从外部存储重新导入您的私钥，然后使用YubiKey命令将它们写入新的keytocard。

要回答这个问题:为了保留对邮件的访问权限，您必须保留当前的密钥(和子键)。但是硬件本身不必保持不变，只要有外部备份，它可能是另一个YubiKey或智能卡。

如果您真的必须更改您的PGP密钥:理论上您可以解密文件并用新密钥重新加密它们，但是使用电子邮件这是很复杂的。它们可能存储在mbox或pst文件中。即使它们作为独立文件(例如在IMAP服务器上)可用，加密的不是整个文件，而是邮件正文。标题仍然是清晰的。AFAIK不能只解密加密的部分，同时保持文件的其余部分不变。恐怕没有简单的解决办法。

不过，我和雷鸟做了个测试。我选择了一条加密消息，选择了整个消息源(Ctrl)并将其复制到一个文件中。然后，使用命令行中的gpg -d <the file>，我能够在输入密码后读取邮件。但是你没有标题之类的东西。你得到的是一个精简的版本。例如，这不是可以重新弹出到mbox文件的东西。

Answer 2

如果您在Yubikey之外有密钥，只需使用gpg -编辑卡和键盘卡导入它们。如果密钥仅在Yubikey中可用，则无法导出它们。