smartcard - GPG key 签名方 w。在 yubikey 上分离主 key 和子 key

Question

我目前的设置如下:

sec#  rsa4096/E97E8047 2016-07-18 [C]
uid         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb>  rsa2048/65F03C8F 2016-07-18 [S]
ssb>  rsa2048/3DC1E49C 2016-07-18 [E]
ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]

简而言之:

万能 key w。认证能力，存储在 USB 驱动器上(只能从 livecd session 访问，没有互联网)

3 个具有身份验证、签名和加密功能的子 key ，存储在 yubikey 上，始终附加或在我的 key 环中。

据我了解，没有我的主 key ，我无法签署其他 GPG key 。
那么我如何参加 GPG key 签名会呢？不带着我珍贵的万能 key 旅行？

我可以做些什么来保护我的主 key ？

我尝试将它移动到 yubikey，但失败了(因为它没有 S、E 或 A 功能。我错过了一个技巧吗？

我可以使用其他设备吗？

我可以将我的主 key 放在连接到服务器的 HSM 上并通过 SSH 连接到它，该 SSH 由我的 yubikey 上的子 key 进行身份验证，然后是远程签名 key 吗？如果是这样，什么硬件可以保存 GPG 主 key ？

到目前为止，我唯一的选择似乎是将主 key 随身携带在 USB key 上，并在参加 key 签名派对时启动 livecd。

注意:方便很重要。由于我的合规性差，不便的程序是一个重大的安全风险:)

Answer 1

您通常会在事件结束后获得 key 签名派对中所有 key 的副本 - 这将是 pubring.gpg或 pubring.kbx在注册截止日期后或事件结束后在线提供或通过电子邮件发送给每位参与者。

事件期间:

您不带任何 PGP key 。

只需您的护照或其他身份证明表格。

可选择一张带有您自己的 UID/电子邮件和 key 指纹的纸，以确保其他人正在验证您的实际 key 而不是其他人。
(将您的电子邮件和 PGP 指纹印在您的名片上非常适合此目的)

因此，您在回家时签署 key ，在那里您拥有安全的环境，然后将它们邮寄到您在聚会期间确认的 UID(以加密形式)。

有工具可以自动完成派对后的签名过程，以及派对前和派对期间的准备工作，Linux 见 pius 1和 signing-party 2 .

我的大多数万能 key 都有 [SCEA]以及子 key ，我可以将主 key 移动到智能卡的签名槽上( Yubikey Neo 和 Yubikey 4 都适用于此)，同时将子 key 用于日常使用。