Wofür wird ein GPG mit Authentifizierungsfunktion verwendet?

13

GnuPG-Unterschlüssel können mit drei Arten von Funktionen gekennzeichnet werden: Signieren, Verschlüsseln und Authentifizieren .

Während die ersten beiden Aktionen weit verbreitet und dokumentiert sind, ist die Authentifizierungsaktion irgendwie mysteriös. Sie können einen solchen Schlüssel nur erstellen, indem Sie einen Primärschlüssel mit der folgenden --expertOption bearbeiten :

$ gpg --expert --edit-key 889C36B7
gpg (GnuPG/MacGPG2) 2.0.17; Copyright (C) 2011 Free Software Foundation, Inc.
gpg> addkey    
...                  
Possible actions for a RSA key: Sign Encrypt Authenticate 
Current allowed actions: Sign Encrypt 
   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished
...

Es gibt Gerüchte, dass GPG-Schlüssel für die SSH-Authentifizierung verwendet werden, aber ich habe weder gelesen noch einen Weg gefunden, dies zum Laufen zu bringen. Es gibt auch einige unbeantwortete Fragen zu [gpg] und [ssh] Interaktion:

Sind GPG- und SSH-Schlüssel austauschbar?

Wie verwende ich gpg und SSH zusammen?

Abgesehen davon kann ich keine anderen Verwendungen für die Unterschlüssel "Authentifizierung" finden.

Claudio Floreani
quelle

Antworten:

11

OpenPGP-Schlüssel können zur Authentifizierung in verschiedenen Protokollen verwendet werden:

  • SSH als bloße ssh-rsa-Schlüssel ( monkeysphere subkey-to-ssh-agentoder Smartcards)

  • SSH, als pgp-sign-rsa- Zertifikate (mir keine Implementierungen bekannt)

  • TLS gemäß RFC 5081 (unterstützt von GnuTLS)

  • natürlich weniger bekannte Protokolle und Software wie gpgauth.org, Enigform und dergleichen; sie tun die „Authentifizierung“ Flagge geeignet finden.

user1686
quelle
Ja "Verwenden von OpenPGP-Schlüsseln für die TLS-Authentifizierung (Transport Layer Security)" ist ein interessanter Entwurf. Ein Teil davon scheint jedoch, dass die Authentifizierungsfunktion als "Bonus" hinzugefügt wurde, sich jedoch vollständig auf Implementierungen von Drittanbietern stützt. Ich werde einige Zeit warten, um andere Antworten zu sammeln, bevor ich Ihre gute akzeptiere. Vielen Dank
Claudio Floreani