Jawaban:
Saya tahu ini adalah pos lama, tetapi bagi orang-orang seperti saya tersandung pada ini:
Sekarang (karena gpg 2.1) mungkin untuk hanya mengambil kunci ssh langsung menggunakan gpg:
gpg --export-ssh-key <key id>!
.
The !
mark adalah opsional, itu membuat kunci ekspor primer dan menghilangkan memeriksa apakah kuncinya adalah otentikasi-mampu ([CA]).
Detail:
Saya sedang melakukan penelitian tentang topik ini dan saya dapat memberikan Anda beberapa petunjuk, tetapi saya belum menemukan cara untuk membuatnya bekerja.
Monkeysphere tampaknya proyek yang sangat menarik, tetapi saya tidak dapat mengkompilasinya di bawah Mac OS X tanpa menyumbat ruang disk kecil saya dengan MacPorts.
Cara pertama yang saya sarankan untuk Anda coba adalah membuat entri Authorized_key yang kompatibel dari id kunci Anda (misalnya, BFB2E5E3) dengan
gpgkey2ssh BFB2E5E3 | tee -a ~/.ssh/authorized_keys
Di sini saya menambahkannya ke localhost saya karena saya menjalankan ssh server untuk tujuan pengujian, tetapi tentu saja Anda harus menambahkan ini ke host target ~/.ssh/authorized_keys
. Selanjutnya Anda perlu memberi tahu SSH untuk menggunakan bagian pribadi dari kunci ini selama otentikasi, tetapi hanya mengekspor versi ASCII lapis baja dari kunci pas tidak berfungsi:
gpg --armor --export-secret-key BFB2E5E3! |tee ~/.ssh/id_rsa
gpg --armor --export BFB2E5E3! | tee ~/.ssh/id_rsa.pub
chmod 400 ~/.ssh/id_rsa
ssh localhost
gpg-agent
memiliki opsi --enable-ssh-support
yang memungkinkan untuk menggunakannya sebagai pengganti drop-in untuk yang terkenal ssh-agent
. Saya pernah membaca tentang beberapa orang yang mencoba menambahkan melalui ssh-add
kunci GPG mereka setelah meluncurkan gpg-agent
dengan cara ini:
gpg-agent --enable-ssh-support --daemon
gpg --armor --export-secret-key BFB2E5E3! | tee ~/.gnupg/exported-keys/BFB2E5E3_sec.asc
ssh-add ~/.gnupg/exported-keys/BFB2E5E3_sec.asc
Tetapi saya tidak berpikir ini akan berhasil. The gpg-agent manualnya mengatakan:
Kunci SSH, yang akan digunakan melalui agen, perlu ditambahkan ke agen gpg pada awalnya melalui utilitas ssh-add. Ketika kunci ditambahkan, ssh-add akan meminta kata sandi file kunci yang disediakan dan mengirimkan materi kunci yang tidak dilindungi ke agen; ini menyebabkan agen gpg meminta frasa sandi, yang akan digunakan untuk mengenkripsi kunci yang baru diterima dan menyimpannya di direktori spesifik agen gpg.
Jadi sepertinya itu gpg-agent
harus digunakan sebagai langkah tambahan untuk melindungi kunci SSH Anda dengan enkripsi GPG.
Jérôme Pouiller di blognya menulis bahwa utilitas Gpgsm dapat mengekspor kunci dan sertifikat di PCSC12; mereka kemudian dapat digunakan oleh OpenSSH:
gpgsm -o secret-gpg-key.p12 --export-secret-key-p12 0xXXXXXXXX
openssl pkcs12 -in secret-gpg-key.p12 -nocerts -out gpg-key.pem
chmod 600 gpg-key.pem
cp gpg-key.pem ~/.ssh/id_rsa
ssh-keygen -y -f gpg-key.pem > ~/.ssh/id_rsa.pub
Tapi saya belum menemukan cara untuk gpgsm
menerima keypairs gpg saya.
SSH memiliki -I
opsi untuk menentukan perpustakaan bersama PKCS # 11 ssh
harus digunakan untuk berkomunikasi dengan token PKCS # 11 yang menyediakan kunci RSA pribadi pengguna.
ssh-keygen
dapat menggunakan RFC4716 / SSH2 kunci publik atau pribadi, kunci publik PEM PKCS8, dan kunci publik PEM untuk menghasilkan kunci privat (atau publik) yang kompatibel dengan OpenSSH menggunakan opsi -i
dan -m
.
Tetap saja saya tidak dapat menemukan cara untuk menyatukan semuanya.
gpgkey2ssh
telah diganti pada --export-ssh-key
versi 2.1.11 (2016-01-26). Butuh beberapa saat untuk menyadari hal ini. Penggunaan adalah gpg --export-ssh-key BFB2E5E3
.
Tidak, mereka tidak bisa dipertukarkan. Ya, dimungkinkan untuk menggunakan kunci GPG untuk otentikasi - paket Monkeysphere memiliki alat untuk mengekstrak keypair RSA mentah dari sertifikat GPG Anda.
Sertifikat GPG Anda akan memerlukan subkunci dengan bendera kemampuan "otentikasi". Untuk membuat subkunci seperti itu, jalankan sekali:
monkeysphere g
Sekarang tambahkan subkunci otentikasi Anda ke ssh-agent :
monkeysphere s
Agak relevan: utas gnupg-pengguna ini .
Dengan informasi dari jawaban atas pertanyaan ini dan bantuan milis gnupg-pengguna, saya dapat mengetahui cara menggunakan kunci GPG saya untuk otentikasi SSH. Seperti yang telah disebutkan oleh Claudio Floreani dalam jawabannya, ada beberapa metode yang mungkin untuk melakukan ini.
Saya telah menulis blogpost tentang beberapa solusi yang mungkin: http://budts.be/weblog/2012/08/ssh-authentication-with-your-pgp-key
Untuk meringkas: Anda menggunakan GnuPG 2.1, yang saat ini dalam versi beta. Saat menggunakan versi ini, Anda cukup memulai gpg-agent dengan opsi --enable-ssh-support dan tambahkan keygrip untuk Anda kunci GPG (atau subkey) ke ~ / .gnupg / sshcontrol.
Ketika Anda menggunakan versi GnuPG stabil saat ini (2.0.x), Anda dapat menggunakan monkeysphere untuk menambahkan kunci Anda ke gpg-agent (sekali lagi, setelah memulai gpg-agent dengan opsi --enable-ssh-support).
Dimungkinkan juga untuk menggunakan keyring GNOME (atau bahkan ssh-agent biasa) dengan bantuan monkeysphere. Satu-satunya masalah dalam hal ini adalah Anda harus menambahkan kembali kunci Anda ketika masuk lagi (ke Gnome atau XFCE). Untuk mengatasi ini, Anda dapat mengekspor kunci secara manual dan mengonversinya.