Version 15 - History - UsoDiOpenPGPCard - Truedoc - labs

UsoDiOpenPGPCard » History » Version 15

Elena Grandi, 10/20/2016 11:08 AM

-Elena Grandi
+h1. Uso di OpenPGP Card
 Elena Grandi
-Elena Grandi
+L'"OpenPGP Card":https://en.wikipedia.org/wiki/OpenPGP_card è una smartcard sulla quale si possono salvare in modo sicuro ed usare le sottochiavi segrete usate da GnuPG per crittografia, firma ed anche autenticazione; ne esistono versioni tradizionali, oppure implementate in un dispositivo USB. In ogni caso si possono caricare nuove chiavi sulla scheda, ma non si possono estrarre (per via software) quelle salvate ed è la scheda stessa ad effettuare le operazioni crittografiche.
 Elena Grandi
-Elena Grandi
+L'obiettivo che si vuole ottenere è di non avere materiale crittografico segreto sui computer, in modo che un attaccante remoto non possa impossessarsene, mantenendo comunque la comodità di poter usare le chiavi sulla stessa macchina di uso comune. Per farlo si dovrà avere una chiave principale di lunga durata conservata offline ed usata solo saltuariamente per operazioni di gestione della chiave stessa (creazione di nuove sottochiavi, modifica delle scadenze, firma di altre chiavi per la _Web Of Trust_) e delle sottochiavi da usare quotidianamente, conservate sulla card.
 Elena Grandi
-Elena Grandi
+Ll'OpenPGP Card permette di caricare tre sottochiavi con finalità di crittografia, firma ed autenticazione: le prime due si usano normalmente tramite GnuPG, la terza può essere usata per l'autenticazione ssh tramite gpg-agent.
 Elena Grandi
-Elena Grandi
+h2. prerequisiti
 Elena Grandi
-Elena Grandi
+Tutte le versioni di "GnuPG":https://gnupg.org/ supportano l'uso di base delle OpenPGP Card, ma per meglio sfruttarne le capacità è meglio usare la versione 2.1 (_modern_), specialmente in fase di creazione della chiave e delle sue sottochiavi.
 Elena Grandi
-Elena Grandi
+Nel caso si voglia usare poi la Card per autenticazione ssh con versioni precedenti di GnuPG è necessario installare anche gpg-agent (in 2.1 usato di default).
 Elena Grandi
-Elena Grandi
+Per il supporto della Card è poi necessario installare "PC/SC Lite":http://pcsclite.alioth.debian.org/.
 Elena Grandi
-Elena Grandi
+Sotto distribuzioni debian o derivate (che già preinstallano @gnupg@ e @openssh-client@) i pacchetti da installare sono quindi:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+apt install pcscd gnupg-agent
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+h2. creazione della chiave
 Elena Grandi
-Elena Grandi
+Innanzitutto bisogna creare una chiave principale che verrà associata alla nostra identità; questa dovrà essere da almeno 4096 bit per garantirle sufficiente longevità, dato che la sua sostituzione comporta un nuovo ingresso nella Web of Trust.
 Elena Grandi
-Elena Grandi
+Ovviamente, se si ha già una chiave gpg da 4096 bit si può saltare questo passaggio ed usare quella.
 Elena Grandi
-Elena Grandi
+Innanzitutto, configurare gpg per l'uso di SHA2 aggiungendo le seguenti righe a @~/.gnupg/gpg.conf@:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+personal-digest-preferences SHA256
-Elena Grandi
+cert-digest-algo SHA256
-Elena Grandi
+default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Quindi generare una nuova chiave: notare l'uso di gpg versione 2.1 e la dimensione a 4096 bit (per il resto si sono accettate le scelte di default oppure inseriti i propri dati).
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --full-gen-key
-Elena Grandi
+gpg (GnuPG) 2.1.15; Copyright (C) 2016 Free Software Foundation, Inc.
-Elena Grandi
+This is free software: you are free to change and redistribute it.
-Elena Grandi
+There is NO WARRANTY, to the extent permitted by law.
 Elena Grandi
-Elena Grandi
+Please select what kind of key you want:
-Elena Grandi
+   (1) RSA and RSA (default)
-Elena Grandi
+   (2) DSA and Elgamal
-Elena Grandi
+   (3) DSA (sign only)
-Elena Grandi
+   (4) RSA (sign only)
-Elena Grandi
+Your selection? 1
-Elena Grandi
+RSA keys may be between 1024 and 4096 bits long.
-Elena Grandi
+What keysize do you want? (2048) 4096
-Elena Grandi
+Requested keysize is 4096 bits
-Elena Grandi
+Please specify how long the key should be valid.
-Elena Grandi
+= key does not expire
-Elena Grandi
+      <n>  = key expires in n days
-Elena Grandi
+      <n>w = key expires in n weeks
-Elena Grandi
+      <n>m = key expires in n months
-Elena Grandi
+      <n>y = key expires in n years
-Elena Grandi
+Key is valid for? (0)
-Elena Grandi
+Key does not expire at all
-Elena Grandi
+Is this correct? (y/N) y
 Elena Grandi
-Elena Grandi
+GnuPG needs to construct a user ID to identify your key.
 Elena Grandi
-Elena Grandi
+Real name: Random User
-Elena Grandi
+Email address: random@example.org
-Elena Grandi
+Comment:
-Elena Grandi
+You selected this USER-ID:
-Elena Grandi
+    "Random User <random@example.org>"
 Elena Grandi
-Elena Grandi
+Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
-Elena Grandi
+We need to generate a lot of random bytes. It is a good idea to perform
-Elena Grandi
+some other action (type on the keyboard, move the mouse, utilize the
-Elena Grandi
+disks) during the prime generation; this gives the random number
-Elena Grandi
+generator a better chance to gain enough entropy.
-Elena Grandi
+gpg: key 3E0EE5BAC50DF7C1 marked as ultimately trusted
-Elena Grandi
+gpg: directory '/home/random/.gnupg/openpgp-revocs.d' created
-Elena Grandi
+gpg: revocation certificate stored as '/home/valhalla/.gnupg/openpgp-revocs.d/19DB75A75734ABBEDB1124163E0EE5BAC50DF7C1.rev'
-Elena Grandi
+public and secret key created and signed.
 Elena Grandi
-Elena Grandi
+pub   rsa4096 2016-10-19 [SC]
-Elena Grandi
+DB75A75734ABBEDB1124163E0EE5BAC50DF7C1
-Elena Grandi
+DB75A75734ABBEDB1124163E0EE5BAC50DF7C1
-Elena Grandi
+uid                      Random User <random@example.org>
-Elena Grandi
+sub   rsa4096 2016-10-19 [E]
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+h2. creazione delle sottochiavi
 Elena Grandi
-Elena Grandi
+Questo è il punto in cui è particolarmente importante l'uso di GnuPG 2.1, che rende molto più semplice la creazione di una chiave per l'autenticazione.
 Elena Grandi
-Elena Grandi
+Molte delle OpenPGP Card disponibili sul mercato supportano chiavi al massimo a 2048 bit: questo non è un grosso problema dato che al momento sono considerate ancora ragionevolmente sicure, ed una loro eventuale sostituzione in futuro non è particolarmente onerosa (oltre ovviamente alla necessità di usare una Card o un dispositivo diverso).
 Elena Grandi
-Elena Grandi
+Per generare le sottochiavi necessarie, si entra in modalità di modifica con l'opzione @--expert@ che abilita la creazione di chiavi di autenticazione.
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --expert --edit-key 3E0EE5BAC50DF7C1
-Elena Grandi
+gpg (GnuPG) 2.1.15; Copyright (C) 2016 Free Software Foundation, Inc.
-Elena Grandi
+This is free software: you are free to change and redistribute it.
-Elena Grandi
+There is NO WARRANTY, to the extent permitted by law.
 Elena Grandi
-Elena Grandi
+Secret key is available.
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Quindi si crea prima una normale sottochiave di firma (opzione 4)
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> addkey
-Elena Grandi
+Please select what kind of key you want:
-Elena Grandi
+   (3) DSA (sign only)
-Elena Grandi
+   (4) RSA (sign only)
-Elena Grandi
+   (5) Elgamal (encrypt only)
-Elena Grandi
+   (6) RSA (encrypt only)
-Elena Grandi
+   (7) DSA (set your own capabilities)
-Elena Grandi
+   (8) RSA (set your own capabilities)
-Elena Grandi
+  (10) ECC (sign only)
-Elena Grandi
+  (11) ECC (set your own capabilities)
-Elena Grandi
+  (12) ECC (encrypt only)
-Elena Grandi
+  (13) Existing key
-Elena Grandi
+Your selection? 4
-Elena Grandi
+RSA keys may be between 1024 and 4096 bits long.
-Elena Grandi
+What keysize do you want? (2048)
-Elena Grandi
+Requested keysize is 2048 bits
-Elena Grandi
+Please specify how long the key should be valid.
-Elena Grandi
+= key does not expire
-Elena Grandi
+      <n>  = key expires in n days
-Elena Grandi
+      <n>w = key expires in n weeks
-Elena Grandi
+      <n>m = key expires in n months
-Elena Grandi
+      <n>y = key expires in n years
-Elena Grandi
+Key is valid for? (0) 1y
-Elena Grandi
+Key expires at Thu 19 Oct 2017 12:15:49 CEST
-Elena Grandi
+Is this correct? (y/N) y
-Elena Grandi
+Really create? (y/N) y
-Elena Grandi
+We need to generate a lot of random bytes. It is a good idea to perform
-Elena Grandi
+some other action (type on the keyboard, move the mouse, utilize the
-Elena Grandi
+disks) during the prime generation; this gives the random number
-Elena Grandi
+generator a better chance to gain enough entropy.
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
 Elena Grandi
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Una normale sottochiave per la crittografia (opzione 6)
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> addkey
-Elena Grandi
+Please select what kind of key you want:
-Elena Grandi
+   (3) DSA (sign only)
-Elena Grandi
+   (4) RSA (sign only)
-Elena Grandi
+   (5) Elgamal (encrypt only)
-Elena Grandi
+   (6) RSA (encrypt only)
-Elena Grandi
+   (7) DSA (set your own capabilities)
-Elena Grandi
+   (8) RSA (set your own capabilities)
-Elena Grandi
+  (10) ECC (sign only)
-Elena Grandi
+  (11) ECC (set your own capabilities)
-Elena Grandi
+  (12) ECC (encrypt only)
-Elena Grandi
+  (13) Existing key
-Elena Grandi
+Your selection? 6
-Elena Grandi
+RSA keys may be between 1024 and 4096 bits long.
-Elena Grandi
+What keysize do you want? (2048)
-Elena Grandi
+Requested keysize is 2048 bits
-Elena Grandi
+Please specify how long the key should be valid.
-Elena Grandi
+= key does not expire
-Elena Grandi
+      <n>  = key expires in n days
-Elena Grandi
+      <n>w = key expires in n weeks
-Elena Grandi
+      <n>m = key expires in n months
-Elena Grandi
+      <n>y = key expires in n years
-Elena Grandi
+Key is valid for? (0) 1y
-Elena Grandi
+Key expires at Thu 19 Oct 2017 12:18:16 CEST
-Elena Grandi
+Is this correct? (y/N) y
-Elena Grandi
+Really create? (y/N) y
-Elena Grandi
+We need to generate a lot of random bytes. It is a good idea to perform
-Elena Grandi
+some other action (type on the keyboard, move the mouse, utilize the
-Elena Grandi
+disks) during the prime generation; this gives the random number
-Elena Grandi
+generator a better chance to gain enough entropy.
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Ed infine una sottochiave per l'autenticazione, selezionando l'opzione 8, togliendo le capacità di firma e crittografia e mettendo quella di autenticazione.
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> addkey
-Elena Grandi
+Please select what kind of key you want:
-Elena Grandi
+   (3) DSA (sign only)
-Elena Grandi
+   (4) RSA (sign only)
-Elena Grandi
+   (5) Elgamal (encrypt only)
-Elena Grandi
+   (6) RSA (encrypt only)
-Elena Grandi
+   (7) DSA (set your own capabilities)
-Elena Grandi
+   (8) RSA (set your own capabilities)
-Elena Grandi
+  (10) ECC (sign only)
-Elena Grandi
+  (11) ECC (set your own capabilities)
-Elena Grandi
+  (12) ECC (encrypt only)
-Elena Grandi
+  (13) Existing key
-Elena Grandi
+Your selection? 8
 Elena Grandi
-Elena Grandi
+Possible actions for a RSA key: Sign Encrypt Authenticate
-Elena Grandi
+Current allowed actions: Sign Encrypt
 Elena Grandi
-Elena Grandi
+   (S) Toggle the sign capability
-Elena Grandi
+   (E) Toggle the encrypt capability
-Elena Grandi
+   (A) Toggle the authenticate capability
-Elena Grandi
+   (Q) Finished
 Elena Grandi
-Elena Grandi
+Your selection? s
 Elena Grandi
-Elena Grandi
+Possible actions for a RSA key: Sign Encrypt Authenticate
-Elena Grandi
+Current allowed actions: Encrypt
 Elena Grandi
-Elena Grandi
+   (S) Toggle the sign capability
-Elena Grandi
+   (E) Toggle the encrypt capability
-Elena Grandi
+   (A) Toggle the authenticate capability
-Elena Grandi
+   (Q) Finished
 Elena Grandi
-Elena Grandi
+Your selection? e
 Elena Grandi
-Elena Grandi
+Possible actions for a RSA key: Sign Encrypt Authenticate
-Elena Grandi
+Current allowed actions:
 Elena Grandi
-Elena Grandi
+   (S) Toggle the sign capability
-Elena Grandi
+   (E) Toggle the encrypt capability
-Elena Grandi
+   (A) Toggle the authenticate capability
-Elena Grandi
+   (Q) Finished
 Elena Grandi
-Elena Grandi
+Your selection? a
 Elena Grandi
-Elena Grandi
+Possible actions for a RSA key: Sign Encrypt Authenticate
-Elena Grandi
+Current allowed actions: Authenticate
 Elena Grandi
-Elena Grandi
+   (S) Toggle the sign capability
-Elena Grandi
+   (E) Toggle the encrypt capability
-Elena Grandi
+   (A) Toggle the authenticate capability
-Elena Grandi
+   (Q) Finished
 Elena Grandi
-Elena Grandi
+Your selection? q
-Elena Grandi
+RSA keys may be between 1024 and 4096 bits long.
-Elena Grandi
+What keysize do you want? (2048)
-Elena Grandi
+Requested keysize is 2048 bits
-Elena Grandi
+Please specify how long the key should be valid.
-Elena Grandi
+= key does not expire
-Elena Grandi
+      <n>  = key expires in n days
-Elena Grandi
+      <n>w = key expires in n weeks
-Elena Grandi
+      <n>m = key expires in n months
-Elena Grandi
+      <n>y = key expires in n years
-Elena Grandi
+Key is valid for? (0) 1y
-Elena Grandi
+Key expires at Thu 19 Oct 2017 12:24:56 CEST
-Elena Grandi
+Is this correct? (y/N) y
-Elena Grandi
+Really create? (y/N) y
-Elena Grandi
+We need to generate a lot of random bytes. It is a good idea to perform
-Elena Grandi
+some other action (type on the keyboard, move the mouse, utilize the
-Elena Grandi
+disks) during the prime generation; this gives the random number
-Elena Grandi
+generator a better chance to gain enough entropy.
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Si può quindi uscire dalla modalità di modifica chiave, salvando le modifiche.
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> save
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+h2. salvataggio su supporto esterno
 Elena Grandi
-Elena Grandi
+A questo punto la chiave è ancora gestita nel modo tradizionale, su hard disk. Questo è il momento di salvarne un backup e di farne una copia su chiavetta USB da usare in futuro per le modifiche della chiave.
 Elena Grandi
-Elena Grandi
+Per il backup ci sono vari metodi, da una semplice e poco efficiente copia di tutta la @~/.gnupg@ su un ulteriore supporto all'uso di "paperkey":http://www.jabberwocky.com/software/paperkey/ per salvare una copia su carta; l'importante è che venga fatto e custodito in un luogo sicuro, anche se magari remoto (cassetta di sicurezza).
 Elena Grandi
-Elena Grandi
+Per avere una copia della chiave principale da usare sporadicamente, invece, è necessario copiare l'intera @~/.gnupg@ su una chiavetta USB o simili; una volta fatta la copia verificare che contenga quanto dovuto con
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --homedir indirizzo/della/chiavetta/gnupg --list-secret-keys
-Elena Grandi
+indirizzo/della/chiavetta/gnupg
-Elena Grandi
+pubring.gpg
-Elena Grandi
+---------------------------------
-Elena Grandi
+sec   rsa4096 2016-10-19 [SC]
-Elena Grandi
+DB75A75734ABBEDB1124163E0EE5BAC50DF7C1
-Elena Grandi
+uid           [ultimate] Random User <random@example.org>
-Elena Grandi
+ssb   rsa4096 2016-10-19 [E]
-Elena Grandi
+ssb   rsa2048 2016-10-19 [S] [expires: 2017-10-19]
-Elena Grandi
+ssb   rsa2048 2016-10-19 [E] [expires: 2017-10-19]
-Elena Grandi
+ssb   rsa2048 2016-10-19 [A] [expires: 2017-10-19]
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+smontare la chiavetta e riporla in un luogo sicuro; la si userà nuovamente quando sarà necessario cambiare le date di scadenza delle sottochiavi, oppure firmare chiavi di altre persone, per la Web of Trust.
 Elena Grandi
-Elena Grandi
+h2. spostamento delle chiavi sulla Card
 Elena Grandi
-Elena Grandi
+Per il prossimo passaggio è estremamente importante assicurarsi di aver fatto le copie delle chiavi e sottochiavi private: in questo passaggio verranno trasferite sulla Card, dalla quale non possono più essere estratte, e cancellate dal disco.
 Elena Grandi
-Elena Grandi
+Collegare il lettore al computer, inserire la Card e controllare che venga correttamente riconosciuta:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --card-status
-Elena Grandi
+Reader ...........: ####
-Elena Grandi
+Application ID ...: ####
-Elena Grandi
+Version ..........: 2.0
-Elena Grandi
+Manufacturer .....: ####
-Elena Grandi
+Serial number ....: ####
-Elena Grandi
+Name of cardholder: [not set]
-Elena Grandi
+Language prefs ...: [not set]
-Elena Grandi
+Sex ..............: unspecified
-Elena Grandi
+URL of public key : [not set]
-Elena Grandi
+Login data .......: [not set]
-Elena Grandi
+Signature PIN ....: forced
-Elena Grandi
+Key attributes ...: rsa2048 rsa2048 rsa2048
-Elena Grandi
+Max. PIN lengths .: 127 127 127
-Elena Grandi
+PIN retry counter : 3 3 3
-Elena Grandi
+Signature counter : 0
-Elena Grandi
+Signature key ....: [none]
-Elena Grandi
+Encryption key....: [none]
-Elena Grandi
+Authentication key: [none]
-Elena Grandi
+General key info..: [none]
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Cambiare poi i pin della chiave:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --card-edit
-Elena Grandi
+Reader ...........: ####
-Elena Grandi
+Application ID ...: ####
-Elena Grandi
+Version ..........: 2.0
-Elena Grandi
+Manufacturer .....: ####
-Elena Grandi
+Serial number ....: ####
-Elena Grandi
+Name of cardholder: [not set]
-Elena Grandi
+Language prefs ...: [not set]
-Elena Grandi
+Sex ..............: unspecified
-Elena Grandi
+URL of public key : [not set]
-Elena Grandi
+Login data .......: [not set]
-Elena Grandi
+Signature PIN ....: forced
-Elena Grandi
+Key attributes ...: rsa2048 rsa2048 rsa2048
-Elena Grandi
+Max. PIN lengths .: 127 127 127
-Elena Grandi
+PIN retry counter : 3 3 3
-Elena Grandi
+Signature counter : 0
-Elena Grandi
+Signature key ....: [none]
-Elena Grandi
+Encryption key....: [none]
-Elena Grandi
+Authentication key: [none]
-Elena Grandi
+General key info..: [none]
 Elena Grandi
-Elena Grandi
+gpg/card> admin
-Elena Grandi
+Admin commands are allowed
 Elena Grandi
-Elena Grandi
+gpg/card> passwd
-Elena Grandi
+gpg: OpenPGP card no. #### detected
 Elena Grandi
-Elena Grandi
+- change PIN
-Elena Grandi
+- unblock PIN
-Elena Grandi
+- change Admin PIN
-Elena Grandi
+- set the Reset Code
-Elena Grandi
+Q - quit
 Elena Grandi
-Elena Grandi
+Your selection?
 Elena Grandi
-Elena Grandi
+[TODO: completare il cambiamento pin dopo aver sbloccato la Card di prova]
 Elena Grandi
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Si può quindi passare a spostare le varie sottochiavi sulla Card, aprendo la modalità di editing della chiave:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --edit-key 3E0EE5BAC50DF7C1
-Elena Grandi
+gpg (GnuPG) 2.1.15; Copyright (C) 2016 Free Software Foundation, Inc.
-Elena Grandi
+This is free software: you are free to change and redistribute it.
-Elena Grandi
+There is NO WARRANTY, to the extent permitted by law.
 Elena Grandi
-Elena Grandi
+Secret key is available.
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+passando alla modalità di modifica delle chiavi private
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> toggle
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+e trasferendo una ad una le sottochiavi sulla Card; firma:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> key 2
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb* rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
 Elena Grandi
-Elena Grandi
+gpg> keytocard
-Elena Grandi
+Please select where to store the key:
-Elena Grandi
+   (1) Signature key
-Elena Grandi
+   (3) Authentication key
-Elena Grandi
+Your selection? 1
-Elena Grandi
+gpg: KEYTOCARD failed: Bad PIN
 Elena Grandi
-Elena Grandi
+gpg> keytocard
-Elena Grandi
+Please select where to store the key:
-Elena Grandi
+   (1) Signature key
-Elena Grandi
+   (3) Authentication key
-Elena Grandi
+Your selection? 1
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb* rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+crittografia:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> key 2
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
 Elena Grandi
-Elena Grandi
+gpg> key 3
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb* rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
 Elena Grandi
-Elena Grandi
+gpg> keytocard
-Elena Grandi
+Please select where to store the key:
-Elena Grandi
+   (2) Encryption key
-Elena Grandi
+Your selection? 2
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb* rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+autenticazione:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> key 3
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb  rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
 Elena Grandi
-Elena Grandi
+gpg> key 4
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb* rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
 Elena Grandi
-Elena Grandi
+gpg> keytocard
-Elena Grandi
+Please select where to store the key:
-Elena Grandi
+   (3) Authentication key
-Elena Grandi
+Your selection? 3
 Elena Grandi
-Elena Grandi
+sec  rsa4096/3E0EE5BAC50DF7C1
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: SC
-Elena Grandi
+     trust: ultimate      validity: ultimate
-Elena Grandi
+ssb  rsa4096/F303978FEBB6E995
-Elena Grandi
+     created: 2016-10-19  expires: never       usage: E
-Elena Grandi
+ssb  rsa2048/40A2ADF0FE9E4620
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: S
-Elena Grandi
+ssb  rsa2048/ED9BBD7B3BFF900F
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: E
-Elena Grandi
+ssb* rsa2048/5F89B668295AE797
-Elena Grandi
+     created: 2016-10-19  expires: 2017-10-19  usage: A
-Elena Grandi
+[ultimate] (1). Random User <random@example.org>
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Uscire salvando:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+gpg> save
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+e a questo punto si può controllare che le sottochiavi sono sulla Card:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --card-status
 Elena Grandi
-Elena Grandi
+Reader ...........: ####
-Elena Grandi
+Application ID ...: ####
-Elena Grandi
+Version ..........: 2.0
-Elena Grandi
+Manufacturer .....: ####
-Elena Grandi
+Serial number ....: ####
-Elena Grandi
+Name of cardholder: [not set]
-Elena Grandi
+Language prefs ...: [not set]
-Elena Grandi
+Sex ..............: unspecified
-Elena Grandi
+URL of public key : [not set]
-Elena Grandi
+Login data .......: [not set]
-Elena Grandi
+Signature PIN ....: forced
-Elena Grandi
+Key attributes ...: rsa2048 rsa2048 rsa2048
-Elena Grandi
+Max. PIN lengths .: 127 127 127
-Elena Grandi
+PIN retry counter : 3 3 3
-Elena Grandi
+Signature counter : 0
-Elena Grandi
+Signature key ....: 2128 412C BC75 34F5 6305  9447 40A2 ADF0 FE9E 4620
-Elena Grandi
+      created ....: 2016-10-19 10:15:26
-Elena Grandi
+Encryption key....: 0B24 9C62 4A7D 19FE 7AB9  DCB3 ED9B BD7B 3BFF 900F
-Elena Grandi
+      created ....: 2016-10-19 10:17:57
-Elena Grandi
+Authentication key: 40E1 AE4A 7C13 FD8C C6EA  2C56 5F89 B668 295A E797
-Elena Grandi
+      created ....: 2016-10-19 10:24:14
-Elena Grandi
+General key info..: sub  rsa2048/40A2ADF0FE9E4620 2016-10-19 Random User <random@example.org>
-Elena Grandi
+sec   rsa4096/3E0EE5BAC50DF7C1  created: 2016-10-19  expires: never
-Elena Grandi
+ssb   rsa4096/F303978FEBB6E995  created: 2016-10-19  expires: never
-Elena Grandi
+ssb>  rsa2048/40A2ADF0FE9E4620  created: 2016-10-19  expires: 2017-10-19
-Elena Grandi
+                                card-no: ####
-Elena Grandi
+ssb>  rsa2048/ED9BBD7B3BFF900F  created: 2016-10-19  expires: 2017-10-19
-Elena Grandi
+                                card-no: ####
-Elena Grandi
+ssb>  rsa2048/5F89B668295AE797  created: 2016-10-19  expires: 2017-10-19
-Elena Grandi
+                                card-no: ####
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+e non sono più presenti sul disco
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --list-secret-keys
-Elena Grandi
+/home/random/.gnupg/pubring.gpg
-Elena Grandi
+---------------------------------
-Elena Grandi
+sec   rsa4096 2016-10-19 [SC]
-Elena Grandi
+DB75A75734ABBEDB1124163E0EE5BAC50DF7C1
-Elena Grandi
+uid           [ultimate] Random User <random@example.org>
-Elena Grandi
+ssb   rsa4096 2016-10-19 [E]
-Elena Grandi
+ssb>  rsa2048 2016-10-19 [S] [expires: 2017-10-19]
-Elena Grandi
+ssb>  rsa2048 2016-10-19 [E] [expires: 2017-10-19]
-Elena Grandi
+ssb>  rsa2048 2016-10-19 [A] [expires: 2017-10-19]
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+è però ancora presente la chiave principale.
 Elena Grandi
-Elena Grandi
+h2. rimozione della chiave principale
 Elena Grandi
-Elena Grandi
+Usando gpg 2.1 si possono rimuovere sottochiavi semplicemente cancellando file in @~/.gnupg/private-keys-v1.d/@; per scoprire quale file cancellare bisogna scoprire il _keygrip_ della chiave in questione:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --with-keygrip --list-key 3E0EE5BAC50DF7C1
-Elena Grandi
+pub   rsa4096 2016-10-19 [SC]
-Elena Grandi
+DB75A75734ABBEDB1124163E0EE5BAC50DF7C1
-Elena Grandi
+      Keygrip = 3BC042D5749A498AA2F904CF548C6B5DEDDF0600
-Elena Grandi
+uid           [ultimate] Random User <random@example.org>
-Elena Grandi
+sub   rsa4096 2016-10-19 [E]
-Elena Grandi
+      Keygrip = 0B2A484CBE52875A07F377A1A87F229C60277642
-Elena Grandi
+sub   rsa2048 2016-10-19 [S] [expires: 2017-10-19]
-Elena Grandi
+      Keygrip = AD155C5349ECE4D3725AD77269EC9E696A8191E9
-Elena Grandi
+sub   rsa2048 2016-10-19 [E] [expires: 2017-10-19]
-Elena Grandi
+      Keygrip = BFADD9EEDA2E38A77DCF925E58FFD4FFA2F50B7C
-Elena Grandi
+sub   rsa2048 2016-10-19 [A] [expires: 2017-10-19]
-Elena Grandi
+      Keygrip = D9F3249B5F583B7B4099B80DCAB343A9BA440BA8
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+A questo punto è sufficiente rimuovere il file corrispondente alla chiave principale:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ rm ~/.gnupg/private-keys-v1.d/3BC042D5749A498AA2F904CF548C6B5DEDDF0600.key
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+E si può verificare che la chiave sia stata effettivamente rimossa:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+$ gpg --list-secret-keys 3E0EE5BAC50DF7C1
-Elena Grandi
+sec#  rsa4096 2016-10-19 [SC]
-Elena Grandi
+DB75A75734ABBEDB1124163E0EE5BAC50DF7C1
-Elena Grandi
+uid           [ultimate] Random User <random@example.org>
-Elena Grandi
+ssb   rsa4096 2016-10-19 [E]
-Elena Grandi
+ssb>  rsa2048 2016-10-19 [S] [expires: 2017-10-19]
-Elena Grandi
+ssb>  rsa2048 2016-10-19 [E] [expires: 2017-10-19]
-Elena Grandi
+ssb>  rsa2048 2016-10-19 [A] [expires: 2017-10-19]
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+dove @#@ dopo @sec@ indica che la chiave segreta non è presente sulla macchina in questione.
 Elena Grandi
-Elena Grandi
+h2. configurazione di ssh
 Elena Grandi
-Elena Grandi
+Per abilitare l'autenticazione ssh tramite chiave, aggiungere la seguente riga al file @~/.gnupg/gpg-agent.conf@:
 Elena Grandi
-Elena Grandi
+<pre>
-Elena Grandi
+enable-ssh-support
-Elena Grandi
+</pre>
 Elena Grandi
-Elena Grandi
+Questo dovrebbe essere sufficiente per far sì che le connessioni ssh usino la chiave gpg per l'autenticazione.
 Elena Grandi
-Elena Grandi
+Il caso di non funzionamento più comune è che il gpg-agent non stia effettivamente girando: dato che generalmente è lanciato alla bisogna da GnuPG, è sufficiente usare un comando @gpg@, ad esempio @gpg --card-status@ e da quel momento in poi l'agent sarà disponibile per ssh,
 Elena Grandi
-Elena Grandi
+Un secondo caso di non funzionamento potrebbe essere dovuto alla presenza di un altro agent per ssh: da Debian stretch in poi questo non dovrebbe essere presente, ma vecchie versioni o altre distribuzioni potrebbero lanciarlo ad esempio tramite degli script in @/etc/X11/Xsession.d@, da disattivare.
 Elena Grandi
-Elena Grandi
+h2. configurazione su una nuova macchina
 Elena Grandi
-Elena Grandi
+h2. configurazione su una nuova macchina, con versioni precedenti di gpg

Project

General

Profile

Truedoc

UsoDiOpenPGPCard » History » Version 15