Um excelente recurso para usar o YubiKey é o Guia do YubiKey , que se descreve como:
This is a practical guide to using YubiKey as a SmartCard for storing GPG encryption and signing keys.
An authentication key can also be created for SSH and used with gpg-agent.
Keys stored on a smartcard like YubiKey seem more difficult to steal than ones stored on disk, and are convenient for everyday use.
Instructions written for Debian GNU/Linux 8 (jessie) using YubiKey 4 - with support for 4096 bit RSA keys - in OTP+CCID mode, updated to GPG version 2.2.1. Some notes are included for macOS as well.
A seção de interesse aqui é a de Transferir chaves que contém este aviso:
Transferring keys to YubiKey hardware is a one-way operation only, so make sure you've made a backup before proceeding.
O procedimento é:
-
Relacione as chaves
gpg --edit-key $KEYID
-
Selecione e mova a chave de assinatura
key 1 keytocard
-
Desmarque, selecione e mova a chave de criptografia
key 1 key 2 keytocard
-
Desmarque, selecione e mova a chave de autenticação
key 2 key 3 keytocard
-
Verifique seu trabalho
gpg --list-secret-keys
-
Exportar chave pública
gpg --armor --export $KEYID > /mnt/public-usb-key/pubkey.txt
-
Opcionalmente, pode ser enviado para um servidor de chaves público
gpg --send-key $KEYID
Mais informações podem ser encontradas no artigo.