LinuxシステムでGPGキーを保護するための5つのヒント

ステップ1:各GPG関数のサブキーを作成する

セキュリティを最大限に高めるには、GPG操作に関連する個別の機能ごとにサブキーを生成します。このアプローチにより、主キーの使用を最小限に抑え、主キーを保護します。

まず、GPG キー インターフェイスにアクセスします。

gpg --edit-key [[email protected]]

主キーの機能を変更して署名を制限します。

change-usage

「S」と入力して押すと Enter 、主鍵からの署名が無効になります。次に、署名サブ鍵を作成します。

addkey

キーアルゴリズムメニューからオプション「8」を選択し、 を押して Enter、次のように入力します。

=S

次に、キーのサイズ (4096 ビット) と適切な有効期間 (例: 1 年) を指定します。

最後に、新しいサブキーの作成を確認し、これらの手順を繰り返して暗号化と認証用のサブキーを追加し、各機能に専用のサブキーがあることを確認します。

プロのヒント:セキュリティに対する最小限のアプローチを維持するために、定期的に GPG キーを確認し、使用されなくなったキーは削除してください。

ステップ2:キーの有効期限を設定する

公開鍵のユーザー間での検証を容易にするために、主鍵とそのサブ鍵に有効期限を設定します。まずは主鍵から設定します。

gpg --edit-key [[email protected]]

有効期限を変更します:

expire

適切な有効期限（例：主キーの場合は 10 年）を設定し、パスワードを確認します。

gpg --edit-key [[email protected]] expire

サブキーの有効期限が短いことを確認します。通常は、主キーよりも早く期限切れになります (例: 8 か月)。

プロのヒント:有効期限を短く設定すると、定期的な更新が促され、侵害されたキーが残存しにくくなります。

ステップ3: GPGキーをセキュリティキーに保存する

GPGキーを安全に保管するには、ハードウェアセキュリティキーをご利用ください。まず、セキュリティキーをコンピューターに接続します。

gpg --edit-key [[email protected]]

検出を確認してから、サブキーをセキュリティ キーに転送します。

key 1

サブキーを選択し、次のコマンドを使用します。

keytocard

キーの盗難に対するセキュリティを最大限に高めるには、すべてのサブキー（署名「S」、認証「A」、暗号化「E」）に対してこれを繰り返します。

プロのヒント:キーがセキュリティ デバイスに正常に移動されたことを常に確認してください。

ステップ4：メインの秘密鍵を紙にバックアップする

Paperkeyユーティリティを使ってGPGキーのバックアップを印刷し、長期保存用にエクスポートします。まずはPaperkeyをインストールしてください。

sudo apt install paperkey

GPG キーのバイナリ バージョンをダンプして変換します。

gpg --export-secret-keys -o secretkey.gpg YOUR-GPG@EMAIL. ADDRESS

Paperkey を実行して、キーを重要な情報だけに絞り込みます。

paperkey --output-file=mysecretkey.txt secretkey.gpg

好みのテキスト エディターを使用してファイルを印刷します。

プロのヒント:不正アクセスを防ぐために、紙のコピーを安全な場所にバックアップしてください。

ステップ5:システムからメインの秘密鍵を削除する

追加の保護のために、バックアップ後にマシンから GPG メイン秘密キーを削除することを検討してください。

gpg --export-secret-keys YOUR-GPG@EMAIL. ADDRESS | gpg --symmetric -o private-key.gpg

システムから秘密鍵データを削除します。

gpg --delete-secret-key YOUR-GPG@EMAIL. ADDRESS

秘密鍵が消えたことを確認します。

gpg --list-secret-keys

プロのヒント:秘密サブキーのバックアップと転送が正常に完了したことを確認した後でのみ、メイン キーを削除してください。

GPG にサブキーを使用する必要があるのはなぜですか?

GPG キーはどのくらいの頻度で変更する必要がありますか?