보안 강화를 위해 SSH 키와 gpg 키를 스마트 카드에 저장하고 싶습니다. 그러나 다음과 같은 몇 가지 점에서 약간 불확실합니다.
- 카드에 몇 개의 열쇠를 넣을 수 있습니까? SSH와 GPG 모두 카드에 키를 저장할 수 있다고 가정합니다.
- 키 크기에 제한이 있습니까? 2048 비트 키를 지원한다는 카드가 많이 있습니다. 더 큰 크기는 어떻습니까?
- 하드웨어 : 누구나 잘 작동하는 카드 / 리더 조합을 추천 할 수 있습니까? 나는 상당한 양의 연구를 해왔으며 PC / SC 리더는 다소 불편할 수 있습니다. 이것이 당신의 경험입니까?
- 물어봐야 할 것이 빠졌습니까? 다른 장애물이 있습니까?
fsf europe 회원 자격이있는 카드를 제공한다는 것을 알고 있습니다. 가입하고 싶지는 않지만 …이 카드가 좋은가요?
답변
FSFe의 지침을 사용 하여이 작업을 시도했습니다. 나는 그들의 지시가 아주 좋았 기 때문에 가까워졌다.
지원되는 스마트 카드 리더가 필요합니다. 나는 어딘가에 20 달러에 2 개를, 다. 모델을 기억하지는 않지만 FSFe 지침에 의해 확실히 “지원”으로 나열되었다. 그들의 설정은 모두 잘 작동했습니다. PC / SC는 MS 표준이기 때문에 다소 공평하지만, 내가해야 할 일을 충분히 수행했습니다.
또한 지원되는 스마트 카드가 필요합니다. 나는 일반적인 “점포 전용”카드를 사용했고 독자들에게 그것이 “무력 카드”( 실제로 오래되었으므로 10 년 정도 예상 됨)라고 들었다 . 카드가 키를 저장할 수 있는지 확인해야합니다.
FSFe가 어떤 종류의 카드를 사용하고 있는지 알려줄 수 있습니다. (저는 미국에 있습니다. 심지어 가입 할 수 있는지 확실하지 않습니다. 그래도 FSF에 가입했습니다.)
답변
나는 몇 년 전에 미국인으로 FSFE (Free Software Foundation Europe)에 합류했으며 합병증없이 FSFE 스마트 카드를 배송했습니다.
현재이 카드를 사용하여 Ubuntu 워크 스테이션에 로그인하고 GPG / PGP 및 SSH의 개인 키를 저장합니다.
지금까지 내가 겪었던 유일한 단점은 PGP 키의 1024 키 길이 제한입니다.
SCM Microsystems USB 스마트 카드 리더 (SCR3310)에서 사용하는 카드 리더. 배송비는 $ 20 미만인 아마존에서 찾을 수 있습니다.
행운을 빕니다.
답변
찾고자하는 모든 추가 보안이 필요한 경우 암호화 된 디렉토리에 저장하지 마십시오. 리눅스를 사용하는 경우-심지어 Windows-truecrypt를 다운로드하십시오. 그런 다음 ssh 세션을 열기 전에 암호화 된 디렉토리를 마운트하십시오. 그렇게하면 카드를 잃어 버리거나 카드가 나빠질 염려에 대해 걱정할 필요가 없습니다. 카드를 사용하는 경우 백업이 있어야하며 보안이 저하됩니다.
카드를 사용해도 보안이 걱정된다면 장치를 암호화합니다.