Sub chave gpg para autenticação SSH

Colaboração: Jamenson Espindula

Data de Publicação: 12 de outubro de 2021

Em vez de se criar vários pares de chaves assimétricas (uma para cada dispositivo ou host), cria-se uma sub-chave, padrão OpenPGP, destinada específica e unicamente para autenticação quando se acessar um servidor SSH.

Presumindo que já se tenha confeccionado um par de chaves assimétricas no aplicativo GnuPG, deve-se editar essas chaves para confeccionar uma sub chave especializada para autenticação.

Passo um:** entrar no ambiente de edição de chaves do GnuPG (usou-se a versão 2.2.27 no ambiente Debian GNU/Linux 11 - "bullseye").

$ gpg --edit-key identificador_da_chave 

Passo dois: já dentro do ambiente de edição do GnuPG, executar o comando de adicionar a sub-chave:

$ addkey

Passo três: escolher uma das espécies de chaves assimétricas, por exemplo "RSA".

Passo quatro: escolher o tamanho da sub-chave (entre 1.024 e 4.096 bits), por exemplo "2048".

Passo cinco: especificar por quanto tempo a sub-chave será válida, por exemplo por três (03) anos: "3y".

Passo seis: confirmar a confecção da sub-chave (mediante inserção da frase senha secreta para liberar o uso da chave privada - sempre se assina com a chave privada).

Pronto. Está confeccionada uma sub-chave. Porém, a finalidade de uso é para assinatura apenas ("S", de "Sign", assinar). Essa sub-chave ainda não serve para autenticação.

Passo sete: selecionar a sub-chave para modificar sua finalidade (com o comando "key"). Note um asterisco na primeira coluna (ao lado das letras "ssb"). Esse asterisco indica que a sub-chave está selecionada para edição.

key número_do_índice

O número do índice começa em zero (0) para a chave privada; um (1) para a primeira sub-chave; dois (2) para a segunda sub-chave e assim por diante.

Passo oito: digitar o comando "change-usage" para modificar a finalidade de uso da sub-chave (será apresentada uma lista de opções).

Passo nove: teclar "A" (de "Authenticate") para adicionar a capacidade de autenticação à sub-chave.

Passo dez: teclar "S" (de "Sign") para retirar a capacidade de assinar da sub-chave (capacidade essa adicionada automaticamente durante a confecção).

Passo onze: teclar "Q" para finalizar a edição da sub-chave (e voltar para o ambiente geral).

Passo doze: salvar as edições (comando "save") e sair do ambiente de edição do GnuPG (com o comando "quit").

Agora sim! Tem-se uma sub-chave assimétrica, padrão OpenPGP, específica para autenticação, que pode ser usada para acessar um servidor SSH. Pode-se, por exemplo, acessar o portal "GitHub", via SSH, para enviar dados para seus próprios repositórios de código.

Jamenson Ferreira Espindula de Almeida Melo
Jaboatão dos Guararapes, Pernambuco, Brasil
Usuário GNU/Linux nº 166197
https://linuxcounter.net/cert/166197.png

Impressão digital da chave PGP:
234D 1914 4224 7C53 BD13 6855 2AE0 25C0 08A8 6180



Veja a relação completa dos artigos de Jamenson Espindula