Pierwsze pytanie:
Czy uwierzytelnianie ssh po kluczu gpg jest tak samo bezpieczne jak używanie kluczy wygenerowanych przez narzędzie ssh-keygen? W kluczu gpg nie używam algorytmu rsa tylko krzywych eliptycznych. Chcę zrobić uwierzytelnianie ssh po kluczu gpg z użyciem nitrokeya.
Drugie pytanie:
Czy dobrym pomysłem jest zmiana hasła do klucza gpg i menedżera haseł na to samo hasło, które używam do odszyfrowania kompa w trakcie bootowania?
Na moim boxie, zarówno gpg jak i ssh wspierają podobny zakres:
# GPG
gpg --version
gpg (GnuPG) 2.2.40
libgcrypt 1.10.1
Copyright (C) 2022 g10 Code GmbH
License GNU GPL-3.0-or-later <https://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: /data-mirrored/pkw/.gnupg
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2
# SSH key
pkw@box:~$ ssh -Q key
ssh-ed25519
ssh-ed25519-cert-v01@openssh.com
sk-ssh-ed25519@openssh.com
sk-ssh-ed25519-cert-v01@openssh.com
ecdsa-sha2-nistp256
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521
ecdsa-sha2-nistp521-cert-v01@openssh.com
sk-ecdsa-sha2-nistp256@openssh.com
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com
ssh-dss
ssh-dss-cert-v01@openssh.com
ssh-rsa
ssh-rsa-cert-v01@openssh.com
# SSH sig
pkw@box:~$ ssh -Q sig
ssh-ed25519
sk-ssh-ed25519@openssh.com
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
sk-ecdsa-sha2-nistp256@openssh.com
webauthn-sk-ecdsa-sha2-nistp256@openssh.com
ssh-dss
ssh-rsa
rsa-sha2-256
rsa-sha2-512
Gdybym wygenerował za pomocą gpg klucz ELG, to nie mógłbym się nim podpiąć do mojego SSH, bo ten nie wspiera ELG.