这是一个创建于 3343 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://mechanus.io/ke-neng-shi-zui-hao-de-yubikey-gpg-ssh-zhi-neng-qia-jiao-cheng/
写了一下绕过的坑。苟利国家生死以,岂因祸福避趋之。
 | 1 imn1 2016-10-28 15:56:20 +08:00 2MB 的图…… |
 | 2 letitbesqzr 2016-10-28 15:59:08 +08:00 什么渠道入的? |
 | 3 dzxx36gyy 2016-10-28 16:07:16 +08:00 via Android 有人准备黑五组个团买吗 |
 | 4 ynyounuo 2016-10-28 16:17:36 +08:00 不为酷炫的话, pinentry + keychain 也是差不多的意思 |
 | 5 ryd994 2016-10-28 16:43:13 +08:00 有个 bug : keytocard 之后私钥就已经转移了,所以这时候再说备份就晚了, keytocard 之前就要备份 严格来说,要安全的话,可以让卡直接内部生成,在外部完全不留任何记录 这样是无法备份的,所以不建议对加密密钥这样做 在主密钥有可靠备份的前提下,可以这样生成签名密钥 在有备用登录的前提下,可以这样生成认证密钥 简单来讲,对于 gpg ,应该要有一个冷储存,足够长,平时不用的主密钥,其他密钥都由主密钥签名并以尽可能多的途径扩散出去(多个密钥服务器)主密钥即使有密码也不要放电脑里,因为真要被盗的话暴力破个对称加密还是相对容易的,务必冷储存。 至于 gpg-agent ,如果你以前用过 ssh-add 就容易懂 后台常驻 ssh-agent , ssh-add 把私钥解开密码后交给 agent ,保存在内存里(是的你没看错,明文在内存里) gpg-agent 实现了 ssh-agent 的协议,通过环境变量把 ssh-agent 抢走了 此外,对于 vps 还有本地登录,还可以折腾一下 pam_yubico |
 | 7 wevsty 2016-10-28 17:09:35 +08:00 不太了解这个东西,这个和 SafeNet 的 USBKEY 有啥区别? |
 | 8 yushiro 2016-10-28 17:09:57 +08:00 via iPhone @ryd994 按照楼主的这个教程,是不是 vps 上都用同一个公钥,这样可以用这个卡登录这些 vps ? |
 | 9 lazycat 2016-10-28 17:58:06 +08:00 只有我看到了链接里的 zhi-neng-qia 么。。。 |
 | 10 v1024 2016-10-28 19:00:49 +08:00 via iPhone 期待新 macbook 的 touchID 结合 pgp 的应用 |
 | 11 invalidtoken 2016-10-28 20:01:39 +08:00 via iPhone @lazycat 这个应该是自动转拼音的吧...有这种功能的插件 |
 | 12 nopy 2016-10-28 22:53:47 +08:00 我有个问题,能够用 subkey 生成新的 subkey (subkey 的 subkey) 么?查了查好像不能?但是理论上好像是可以的呀? |
 | 14 RqPS6rhmP3Nyn3Tm OP @ryd994 你说的对!等会补充 |
| 15 RqPS6rhmP3Nyn3Tm OP |
| 18 RqPS6rhmP3Nyn3Tm OP @yushiro 你是不是误解了公私钥的意义…… |
 | 19 mrliusg 2016-11-28 14:22:29 +08:00 官网直邮到国内是可以的吗? |
| 21 RqPS6rhmP3Nyn3Tm OP @mrliusg 不知道,好像要海关的什么 code ,应该是大宗用的。个人建议发邮件问一下 找个人带一下就好了,淘宝也有卖 |
Select Language