Próbuję skonfigurować kartę inteligentną OpenPGP za pomocą YubiKey.
To jest YubiKey 4, więc teoretycznie powinien zaakceptować 4096-bitowy tajny klucz, ale używam 2048-bitowych podkluczy.
Mam klucz główny (ustawiony tylko dla certyfikatu) i trzy podklucze (podpisywanie, szyfrowanie, uwierzytelnianie), które skopiowałem do YubiKey.
Przesłałem klucz publiczny do mojej witryny i ustawiłem adres URL klucza publicznego na karcie inteligentnej.
Gdy próbuję użyć funkcji pobierania, pojawia się błąd, gdy karta szuka niewłaściwego klucza publicznego. Przykład (użycie systemu Windows i GPGWin):
Keys:
11111111 - Master Key
22222222 - Signing sub
33333333 - Encrypt sub
44444444 - Auth sub
C:\gpg> gpg2 --card-status
...
URL of public key: https://my.server/pgp.key
...
General key info: pub 2048/22222222 2016-01-09 Me <[email protected]>
sec# 4096R/11111111 created: 2016-01-09
ssb> 2048R/22222222 created: 2016-01-09
card-no: 0006 12345678
ssb> 2048R/33333333 created: 2016-01-09
card-no 0006 12345678
ssb> 2048R/44444444 created: 2016-01-09
card-no 0006 12345678
Następnie próba pobrania z karty inteligentnej daje:
C:\gpg> gpg2 --card-edit
gpg> admin
Admin commands are allowed
gpg> fetch
gpg: requesting key 22222222 from https server my.server
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
gpg: keyserver communications error: keyserver helper internal error
gpg: keyserver communications error: General Error
Kiedy uruchamiam gpg -a --export 11111111 > pgp.key
, wynikowy klucz pubkey jest taki sam, jak ty --export 22222222
(rozumiem, że jest to oczekiwane zachowanie dla podkluczy), więc nie jestem pewien, dlaczego szuka innego klucza.
Próbowałem wyeksportować klucz z pancerzem i bez niego, potwierdziłem, że własność pliku jest ustawiona na www-data:www-data
moim serwerze /var/web
.
Wszelkie dalsze sugestie będą mile widziane.
gpg --fetch-keys https://my.server/pgp.key
zwracaOdpowiedzi:
Widzę coś podobnego, być może związanego z https://lists.gnupg.org/pipermail/gnupg-users/2015-May/053558.html ? Ostatni post w tym wątku wydaje się sugerować, że uznano go za problem, ale najwyraźniej się nie zmienił.
To wydaje się jak klawisz „Ogólne klucz info”, w naszym przypadku podpisywania podklucz, jest jeden chce złapać.
W moim scenariuszu
fetch
wydaje się, że się udało, ale tak naprawdę nic nie importuje do mojego breloka. Łatwo przezwyciężyć za pomocą ręcznego pobierania prawdziwego klucza publicznego, ale irytujące.źródło