5 suggerimenti per proteggere la chiave GPG in Linux

Pertanto, proteggerlo da cattivi attori garantisce che nessuno possa impersonarti nelle tue comunicazioni con altre persone. Qui ti mostriamo cinque semplici suggerimenti su come proteggere la tua chiave GPG in Linux.

1. Creare sottochiavi per ciascuna funzione GPG

Uno dei modi più semplici per proteggere la chiave GPG in Linux è creare una sottochiave separata per ciascuna funzione chiave. Le sottochiavi sono elementi aggiuntivi di identità crittografica allegati alla chiave principale primaria. Ciò rende più difficile per i malintenzionati pescare la tua chiave privata primaria poiché non la usi per azioni chiave comuni.

Per fare ciò, apri il prompt della chiave GPG per la tua chiave primaria:

Esegui change-usageper modificare le funzionalità predefinite della tua chiave primaria.

Digita “S”, quindi premi Enterper disattivare la funzionalità di firma della chiave primaria.

Esegui addkeyper creare la seconda sottochiave della chiave primaria.

Selezionare “8” nel prompt dell’algoritmo chiave, quindi premere Enter.

Digitare “=S” nel prompt, quindi premere Enterper impostare la funzionalità della sottochiave su “Solo firma”.

Fornire “4096” nel prompt della dimensione della chiave, quindi premere Enterper impostare la dimensione della sottochiave RSA su 4096 bit.

Imposta il periodo di validità ragionevole per la tua sottochiave. Nel mio caso, imposterò la scadenza della mia sottochiave dopo 1 anno.

Crea la tua nuova sottochiave digitando “y”, quindi premendo Entersulla richiesta di conferma.

Esegui nuovamente il addkeycomando e crea le altre due sottochiavi per le funzionalità di crittografia e autenticazione.

Conferma che la tua chiave GPG abbia una sottochiave per ogni funzionalità eseguendo il listsottocomando.

2. Imposta una data di scadenza per le tue chiavi

Un altro modo semplice per proteggere la chiave GPG in Linux è fornire una data di scadenza alla chiave primaria e alle sottochiavi. Sebbene ciò non influisca sulla capacità della chiave di firmare, crittografare e autenticare, impostarne uno offre agli altri utenti GPG un motivo per convalidare sempre la tua chiave rispetto a un server di chiavi.

Inizia aprendo la chiave primaria all’interno dello strumento CLI GPG:

Digita “scadenza”, quindi premi Enterper modificare la data di scadenza della chiave primaria. Nel mio caso, imposterò la scadenza del mio dopo 10 anni.

Fornisci la password per la tua chiave GPG, quindi premi Enterper confermare la nuova data di scadenza.

Esegui i seguenti comandi per selezionare le sottochiavi interne della chiave GPG:

Esegui expire, quindi fornisci una data di scadenza per le sottochiavi. Nella maggior parte dei casi, queste chiavi dovrebbero scadere prima della chiave primaria. Per quanto mi riguarda, li farò scadere dopo otto mesi.

Digita “salva”, quindi premi Enterper salvare le modifiche nel portachiavi GPG.

Conferma che la tua chiave abbia le date di scadenza corrette eseguendo: gpg --list-keys.

3. Salva le tue chiavi GPG in una chiave di sicurezza

Le chiavi di sicurezza sono piccoli dispositivi progettati specificamente per contenere dati di autenticazione privati. A questo proposito, puoi anche usarli per archiviare le tue chiavi GPG senza compromettere la tua sicurezza generale.

Inizia collegando la chiave di sicurezza al tuo computer, quindi esegui il seguente comando per verificare se GPG la rileva:

Apri il prompt GPG sulla tua chiave primaria, quindi esegui listper stampare tutti i dettagli del tuo portachiavi:

Trova la sottochiave con il valore d’uso “S”, quindi esegui la chiave seguita dal suo numero d’ordine nell’elenco delle sottochiavi. Ad esempio, la mia sottochiave “S” è la prima chiave del mio elenco, quindi eseguirò key 1.

Sposta la sottochiave “S” nella memoria interna della chiave di sicurezza:

Seleziona “1” nella richiesta di trasferimento, fornisci la password per la chiave GPG primaria, quindi esegui keynuovamente il comando per deselezionare la prima sottochiave.

Trova la sottochiave con il valore di utilizzo “A”, quindi esegui il keycomando seguito dal numero di indice della sottochiave.

Trasferisci la sottochiave “A” sul dispositivo di sicurezza utilizzando il keytocardcomando, seleziona “3” nella richiesta di trasferimento, quindi esegui nuovamente il comando da chiave deselezionando la sottochiave “A”.

Trova la sottochiave con il valore di utilizzo “E”, quindi selezionala utilizzando il keycomando.

Trasferisci la sottochiave “E” sul tuo dispositivo di sicurezza utilizzando il comando keytocard, quindi seleziona “2” sul prompt.

Esegui save, quindi premi Enterper confermare le modifiche al portachiavi GPG.

Infine, conferma di aver esportato correttamente le sottochiavi dal tuo computer eseguendo gpg --list-secret-keys YOUR-GPG@EMAIL.ADDRESS. In questo modo dovresti stampare un simbolo maggiore di (>) accanto alle etichette “ssb” delle tue sottochiavi.

4. Effettua il backup della chiave privata principale su carta

Oltre alle chiavi di sicurezza, puoi anche proteggere la tua chiave GPG in Linux esportandola in un file di testo stampabile. Paperkey è una semplice utility da riga di comando che prende la tua chiave privata e la riduce ai suoi byte segreti principali. Ciò è utile se stai cercando un modo per preservare la tua chiave GPG al di fuori dei dispositivi digitali.

Per iniziare, installa paperkey dal repository dei pacchetti della tua distribuzione Linux:

Esporta la versione binaria delle tue chiavi private e pubbliche primarie:

Converti la tua chiave privata binaria nei suoi dati segreti principali:

Conferma di poter ricostruire la tua chiave privata primaria dal backup paperkey:

Apri il tuo file segreto principale utilizzando il tuo editor di testo grafico preferito. Nel mio caso, sto utilizzando l’editor di testo predefinito di GNOME.

Fare clic sul menu Opzioni nell’angolo in alto a destra della finestra, quindi selezionare la voce del sottomenu “Stampa”.

5. Elimina la chiave privata principale dal sistema

Quando generi una nuova chiave GPG, il tuo computer memorizza una copia delle chiavi pubblica e privata all’interno del tuo filesystem. Sebbene sia conveniente, questo può rappresentare un problema se si utilizza un computer in rete o ad accesso condiviso.

Un modo per risolvere questo problema è eliminare la chiave privata del tuo portachiavi GPG. Ciò garantirà che qualsiasi attore malintenzionato non sarà in grado di estrarre la tua chiave privata dal tuo computer per firmare e certificare eventuali sottochiavi.

Inizia eseguendo il backup della chiave privata GPG primaria originale e delle sottochiavi:

Crittografa l’output del blocco della chiave privata primaria utilizzando la crittografia simmetrica:

Fornire una password relativamente complessa per i dati della chiave privata, quindi premere Enter.

Archivia la chiave privata GPG crittografata su un dispositivo di archiviazione esterno.

Rimuovi tutti i dati della chiave privata dalla tua coppia di chiavi GPG:

Importa nuovamente il blocco della sottochiave segreta nella tua coppia di chiavi GPG:

Esegui il comando seguente per verificare se la tua chiave privata primaria esiste ancora nel tuo sistema:

In questo modo dovrebbe essere visualizzato un segno di cancelletto (#) accanto all’etichetta “sec” della chiave primaria. Ciò indica che la tua chiave privata non esiste più nel tuo portachiavi GPG.

Imparare come proteggere la tua chiave GPG con questi semplici suggerimenti è solo una parte dell’esplorazione del vasto ecosistema della crittografia a chiave pubblica. Immergiti più a fondo in questo programma accedendo ai server SSH utilizzando GPG.

Credito immagine: FlyD tramite Unsplash . Tutte le modifiche e gli screenshot di Ramces Red.