AshMyzk: en リンク

2023-11-23T09:06:38Z

en リンク

← 古い版		2023年11月23日 (木) 18:06時点における版
2行目:		2行目:
	[[Category:暗号化]]		[[Category:暗号化]]
	[[Category:OpenPGP]]		[[Category:OpenPGP]]
			[[en:OpenPGP-card-tools]]
	{{Related articles start}}		{{Related articles start}}
	{{Related\|GnuPG#スマートカード}}		{{Related\|GnuPG#スマートカード}}

AshMyzk: 初版

2023-11-23T09:06:19Z

初版

新規ページ

[[Category:認証]]
[[Category:暗号化]]
[[Category:OpenPGP]]
{{Related articles start}}
{{Related|GnuPG#スマートカード}}
{{Related|Nitrokey}}
{{Related|スマートカード}}
{{Related|YubiKey}}
{{Related articles end}}
[https://codeberg.org/openpgp-card/openpgp-card-tools Openpgp-card-tools] は、[[OpenPGP]] の[[スマートカード]]を ({{pkg|ccid}} を使って) 操作するためのコマンドラインツール {{man|1|opgpcard}} を提供するソフトウェアパッケージです。

== インストール ==

{{Pkg|openpgp-card-tools}} パッケージを[[インストール]]してください。

== 設定 ==

{{man|1|opgpcard}} ツールは {{pkg|pcsclite}} と {{pkg|ccid}} に依存しています。{{ic|pcscd.socket}} を[[有効化]]し、かつ[[開始]]しておく必要があります。

{{Note|デフォルトでは、[[GnuPG]] は独自の内蔵 [[Wikipedia:CCID_(protocol)|CCID]] ドライバを使用します。[[GnuPG#常に pcscd を使う|代わりに pcsclite を使う]]ように GnuPG を設定することが推奨されます。}}

== OpenPGP カードと対話する ==

{{man|1|opgpcard}} ツールには、OpenPGP カードに関連する機能を提供するいくつかのサブコマンドがあります:

* {{man|1|opgpcard-list}}: 接続されているカードを一覧表示する
* {{man|1|opgpcard-status}}: カード内のデータに関する情報を表示する
* {{man|1|opgpcard-info}}: カードに関する技術的な詳細を表示する
* {{man|1|opgpcard-ssh}}: カードの認証鍵を [[SSH]] 公開鍵として表示する
* {{man|1|opgpcard-admin}}: カード内の、管理者 PIN が必要なデータを管理する
* {{man|1|opgpcard-pin}}: カードの PIN を管理する
* {{man|1|opgpcard-decrypt}}: カードを使ってデータを復号する
* {{man|1|opgpcard-sign}}: カードを使ってデータを署名する
* {{man|1|opgpcard-attestation}}: 鍵がカード上で生成されたことを検証する ([[Yubikey]] 限定)
* {{man|1|opgpcard-system}}: 低レベルなカードの機能を使用する

== ヒントとテクニック ==

=== 機械可読出力 ===

{{man|1|opgpcard}} ツールは、{{ic|--output-format}} オプションで全てのサブコマンドにおいて機械可読形式を提供しています。

接続されているカードをJSON 形式で出力するには:

$ opgpcard --output-format=json list

=== OpenPGP の秘密鍵をインポートする ===

{{man|1|opgpcard-admin-import}} を使えば、OpenPGP 秘密鍵を直接インポートすることができます。

フィンガープリントが {{ic|0123456789012345678901234567890123456789}} である秘密鍵を、識別子が {{ic|0123:01234567}} であるカードにインポートするには:

$ opgpcard admin --card 0123:01234567 import <(gpg --export-secret-key 0123456789012345678901234567890123456789)

=== SSH 公開鍵をエクスポートする ===

{{man|1|opgpcard-ssh}} を使えば、カードの認証スロットの [[SSH 鍵|SSH 公開鍵]]を (他のデータと共に) エクスポートすることができます。

以下の例ではダミーのデータが使われています:

$ opgpcard ssh
OpenPGP card 0123:01234567

Authentication key fingerprint:
D3C4B18828E34FE079273C27DFEA102BC0BF7122

SSH public key:
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIN3SwnYBGotQMbGxG6VRWc8vj6uq24Q2tUGvjkU4BGCd opgpcard:0123:01234567

=== データを署名する ===

{{man|1|opgpcard-sign}} を使えば、カード上の署名鍵を使ってデータを署名することができます。

以下のコマンドは、カードを使って {{ic|hello.txt}} を署名しています:

$ echo "hello world" > hello.txt
$ opgpcard sign --card 0123:01234567 --detached hello.txt
Enter User PIN:
-----BEGIN PGP MESSAGE-----

wr0EABYKAG8FgmVcxgQJEHwxCjP5RdJLRxQAAAAAAB4AIHNhbHRAbm90YXRpb25z
LnNlcXVvaWEtcGdwLm9yZ8BSR6PrXSIRnrQl6r6HEetWVjCVXQtR1Z3PzD9EfbWY
FiEEuFXqMwYb6iFIyl2ufDEKM/lF0ksAAOY2AQC7+Tuh8Gal+kCCfVChD0VV+GUA
yd+leLeylIySXV7qVwD9H2x5QBrgyF/vODNp1tdorTvPwieV/Bop9FCkHYbHJg8=
=cOQ/
-----END PGP MESSAGE-----

=== 暗号化されたデータを復号する ===

{{man|1|opgpcard-decrypt}} を使えば、カードの暗号化スロットを使ってデータを復号することができます。

以下の例では、メッセージは {{man|1|sq-encrypt}} を使って OpenPGP 公開鍵 {{ic|alice.pub}} で暗号化されています。

$ echo "hey alice" | sq encrypt --recipient-file alice.pub > message.pgp
$ opgpcard decrypt --card 0123:01234567 message.pgp
Enter User PIN:
hey alice

=== Nitrokey Start のアイデンティティを切り替える ===

[https://www.nitrokey.com/files/doc/Nitrokey_Start_factsheet.pdf Nitrokey Start] では、1つのハードウェアトークンで3つの別々のアイデンティティを使用することができます。それぞれのアイデンティティには、別々の署名、暗号化、認証スロットがあります。事実上、別々のカード識別子を持つ別々の OpenPGP [[スマートカード]]が3つ存在することと同じです。

{{man|1|opgpcard-system-set-identity}} を使えば、3つのアイデンティティ間で切り替えることができます。

2つ目のアイデンティティに切り替えるには:

$ opgpcard system set-identity --card FFFE:01234567 1

1つ目のアイデンティティに戻すには:

$ opgpcard system set-identity --card FF01:01234567 0

== トラブルシューティング ==

=== スマートカードのセットアップをデバッグする ===

{{man|1|opgpcard-list}} を使えば、接続されているカードのうち、{{man|8|pcscd}} からアクセスできるものを一覧表示できます。接続されているカードが表示されない場合、他のプロセス ([[GnuPG#スマートカード|scdaemon]] など) によってブロックされている可能性があります。{{man|1|scdaemon}} は以下のコマンドで終了できます:

$ gpgconf --kill scdaemon

{{TranslationStatus|OpenPGP-card-tools|2023-11-23|793044}}

OpenPGP-card-tools - 版の履歴

AshMyzk: en リンク

AshMyzk: 初版