我有兴趣将我的 SSH 密钥和 gpg 密钥存储在智能卡上以增加安全性。但是,我对以下几点有点不确定:
- 一张卡上可以存放多少个密钥?我假设 SSH 和 GPG 都可以在卡上存储密钥。
- 密钥大小有限制吗?我看到很多卡都说它们支持 2048 位密钥,那么更大的密钥呢?
- 硬件:有人能推荐一款效果好的卡/读卡器组合吗?我做了大量研究,发现 PC/SC 读卡器似乎有点不太可靠 - 这是您的经验吗?
- 我是否遗漏了应该询问的内容?还有其他障碍吗?
我知道 fsf europe 会赠送会员卡 - 我不确定是否想加入,但是...这些卡好用吗?
答案1
我尝试使用 FSFe 的说明来执行此操作。他们的说明非常好,所以我很接近成功。
您需要一个受支持的智能卡读卡器。我在某处以每台 20 美元的价格买到了两个,不记得型号了,但它们确实被 FSFe 说明列为“受支持”。它们的所有设置都运行良好。PC/SC 有点不确定,因为它是 MS 标准,但它足以满足我的需要。
您还需要一张受支持的智能卡。我使用了一张通用的“仅供商店使用”的卡,读卡器告诉我这是一张“无电源卡”(这是我预料到的,因为它真的旧卡(10年左右)。您需要确保卡具有存储钥匙的功能。
FSFe 可能会告诉您他们使用的是哪种卡。(我在美国,甚至不确定我是否可以加入。不过我已经加入了 FSF。)
答案2
几年前,我以美国人的身份加入了 FSFE(欧洲自由软件基金会),他们毫无困难地给我寄来了一张 FSFE 智能卡。
目前我使用该卡登录 Ubuntu 工作站,以及存储 GPG/PGP 和 SSH 的私钥。
到目前为止我遇到的唯一缺点是 PGP 密钥的长度限制为 1024。
我使用的读卡器是 SCM Microsystems USB 智能卡读卡器 (SCR3310)。您可以在亚马逊上以低于 20 美元的运费购买它们。
祝你好运。
答案3
如果您只是想要额外的安全性,为什么不将它们存储在加密目录中呢?如果您使用的是 Linux - 甚至是 Windows - 请下载 truecrypt。然后在打开 ssh 会话之前挂载加密目录。这样您就不必担心丢失卡或担心卡损坏。如果您使用卡,您应该有备份,这会降低安全性。
即使你使用卡,如果你担心安全问题,我仍然会对设备进行加密