開始把玩 Yubikey 4 GPG

插上去發綠光的Yubikey

在安裝了GPG後,我們可以馬上執行Yubikey的GPG功能了,這部分我參考的是”可能是最好的 Yubikey + GPG/SSH 智能卡教程“,當然其中我遇到了一些問題,首先是如何創建GPG串(文中當作常識省略了),我採用了手機作為產生器(因為有中文….),匯入電腦版的gpg4win,在使用Yubikey 4內建的引擎產生私鑰(當然有好有壞,好處是這份私鑰只存在於Yubikey 4內部且無法匯出,萬一不見撤銷就好;壞處是Yubikey 4不是開源的,無法證明其中的亂數產生器是否安全,但是我想問題不會太大),另一個問題是系統無法正確連接Yubikey 4,在執行gpg --card-status時出現了下面的錯誤訊息:

這是由於系統存在複數的讀卡機,使GPG不知道哪個正確的,解決方式是去裝置管理員禁用其他智慧卡讀卡機(不是智慧卡喔);網路上查詢到的正確解決方法是:

* 在gnupg的目錄建立一個名為scdaemon.conf 的檔案 (以我為例是在 c:\Users\UserName\AppData\Roaming\gnupg\)
* 添加這行: reader-port Yubikey Neo OTP+CCID
* 確認工作管理員內沒有一個叫做scdaemon的程式在執行
* 在命令提示字元執行 gpg –card-status

gpg --card-status的意義在於確認智慧卡狀態,同時確認卡中的私鑰是否與已知的公鑰相符,若是相符就可以進行配對,系統認得後就可以用來加解密了,在一切設定好的Yubikey 4插入以裝有GPG的電腦後只需要依序執行下列指令就可使電腦認得你的憑證了

後面sec與ssb的有出來就代表成功連結,有#的ssb代表公鑰內有紀錄但是不存在於電腦中,後三個是我存在Yubikey 4裡面的私鑰。

One Trackback

  • By 開始把玩 Yubikey 4 - 吾輩乃程序猿 on 2016-12-14 at 21:34:15

    […] OpenPGP Card配合GPG軟體使用,支援ECC 384與RSA 4096的憑證,既可以自行算出金鑰,也可以自外部匯入金鑰,詳細請看我的下一篇文章。 […]

Post a Comment

Your email is never published nor shared. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

*
*