主离线密钥，共享加密/解密密钥，唯一签名密钥？

Question

我读过相当的 一个 一些关于如何使用脱机主键设置PGP密钥的不同文章。我拥有多个YubiKey近地天体硬件智能卡，我打算用于PGP并作为SSH密钥使用。其中一个硬件钥匙将是我的日常驱动程序，其他的保存在其他安全的位置，以防丢失的钥匙。主密钥(如其他地方所建议的)将脱机存在于安全位置中，因为我只需要在需要撤消子密钥时才需要访问它。

我看到有三种类型的密钥需要维护：

1. 离线主键。
   • 只有一个。
   • 负责子密钥的签名和撤销。
   • 在安全的位置完全脱机存在。

2. 共享加密密钥。
   • 只有一个。
   • 负责加密和解密。
   • 同时存在于所有硬件智能卡和脱机安全的位置。

3. 共享身份验证密钥。
   • 只有一个。
   • 负责SSH认证。
   • 同时存在于所有硬件智能卡和脱机安全的位置。

4. 签钥匙。
   • 每个硬件智能卡一张。
   • 负责签东西。
   • 只存在于单个硬件智能卡上，不需要脱机备份。

这就是拥有子键背后的一般想法吗？由于我将首先使用我的智能卡进行SSH身份验证，然后使用PGP加密/解密，这一设置是否有意义？

我没听说过有人使用共享加密密钥，这有可能吗？对于每一张卡，我想我都会做一些事情，做gpg --card-edit，导入加密/解密密钥，然后生成并导入新的签名密钥，并使用离线主密钥对其进行签名。有关于在什么地方做这件事的指南吗？

我对子键还不熟悉，我还在努力了解什么是可能的，什么是安全的“最佳”。

Answer 1

您的方法似乎是合理的；我要补充的是，主密钥也用于管理用户in (这对于维护信任网络中的信任非常重要)。

拥有单个加密密钥的想法是，OpenPGP缺乏将给定的子密钥与设备或用户ID相结合的方法。另一方面，对于签名子密钥，这并不重要，而是使用可用密钥。

使用OpenPGP (而不是--card-edit)菜单中的keytocard命令，共享加密密钥也很有可能通过--edit-key智能卡(最终是一个Yubikey )实现。OpenPGP智能卡上的FSFE页面提供了一个深入的教程，涵盖了几乎所有可能使用OpenPGP智能卡的场景( FSFE会员卡是OpenPGP智能卡)。