https://mechanus.io/ke-neng-shi-zui-hao-de-yubikey-gpg-ssh-zhi-neng-qia-jiao-cheng/
写了一下绕过的坑。苟利国家生死以,岂因祸福避趋之。
1
imn1 2016-10-28 15:56:20 +08:00
2MB 的图……
|
2
letitbesqzr 2016-10-28 15:59:08 +08:00
什么渠道入的?
|
3
dzxx36gyy 2016-10-28 16:07:16 +08:00 via Android
有人准备黑五组个团买吗
|
4
ynyounuo 2016-10-28 16:17:36 +08:00
不为酷炫的话, pinentry + keychain 也是差不多的意思
|
5
ryd994 2016-10-28 16:43:13 +08:00
有个 bug : keytocard 之后私钥就已经转移了,所以这时候再说备份就晚了, keytocard 之前就要备份
严格来说,要安全的话,可以让卡直接内部生成,在外部完全不留任何记录 这样是无法备份的,所以不建议对加密密钥这样做 在主密钥有可靠备份的前提下,可以这样生成签名密钥 在有备用登录的前提下,可以这样生成认证密钥 简单来讲,对于 gpg ,应该要有一个冷储存,足够长,平时不用的主密钥,其他密钥都由主密钥签名并以尽可能多的途径扩散出去(多个密钥服务器)主密钥即使有密码也不要放电脑里,因为真要被盗的话暴力破个对称加密还是相对容易的,务必冷储存。 至于 gpg-agent ,如果你以前用过 ssh-add 就容易懂 后台常驻 ssh-agent , ssh-add 把私钥解开密码后交给 agent ,保存在内存里(是的你没看错,明文在内存里) gpg-agent 实现了 ssh-agent 的协议,通过环境变量把 ssh-agent 抢走了 此外,对于 vps 还有本地登录,还可以折腾一下 pam_yubico |
6
shiji 2016-10-28 16:59:39 +08:00 via Android
我来发个广告,还剩两个全新 4 nano 在国内
https://www.v2ex.com/t/284526 |
7
wevsty 2016-10-28 17:09:35 +08:00
不太了解这个东西,这个和 SafeNet 的 USBKEY 有啥区别?
|
8
yushiro 2016-10-28 17:09:57 +08:00 via iPhone
@ryd994
按照楼主的这个教程,是不是 vps 上都用同一个公钥,这样可以用这个卡登录这些 vps ? |
9
lazycat 2016-10-28 17:58:06 +08:00
只有我看到了链接里的 zhi-neng-qia 么。。。
|
10
v1024 2016-10-28 19:00:49 +08:00 via iPhone
期待新 macbook 的 touchID 结合 pgp 的应用
|
11
invalidtoken 2016-10-28 20:01:39 +08:00 via iPhone
@lazycat 这个应该是自动转拼音的吧...有这种功能的插件
|
12
nopy 2016-10-28 22:53:47 +08:00
我有个问题,能够用 subkey 生成新的 subkey (subkey 的 subkey) 么?查了查好像不能?但是理论上好像是可以的呀?
|
14
RqPS6rhmP3Nyn3Tm OP @ryd994 你说的对!等会补充
|
15
RqPS6rhmP3Nyn3Tm OP |
18
RqPS6rhmP3Nyn3Tm OP @yushiro 你是不是误解了公私钥的意义……
|
19
mrliusg 2016-11-28 14:22:29 +08:00
官网直邮到国内是可以的吗?
|
21
RqPS6rhmP3Nyn3Tm OP @mrliusg 不知道,好像要海关的什么 code ,应该是大宗用的。个人建议发邮件问一下
找个人带一下就好了,淘宝也有卖 |