PGP Schlüssel vom Yubikey auf einem weiteren Yubikey als Back-up portieren - wie gehe ich vor?

[CB_usr90]

Hallo

ich bin seit ein paar Tagen im Besitz eines Yubikey 5 NFC und auf diesen bereits mein PGP Schlüssel hinterlegt.
Nun habe ich einen zweiten Yubikey als Backup und würde nun gern den Schlüssel vom alltäglichen Yubikey auf den zweiten Yubikey übertragen, sodass ich beim defekt auf das Backup zugreifen kann.

Den PGP Schlüssel habe ich erstmals mit Openkeychain unter Android auf dem Yubikey eingerichtet.

Könnt Ihr mir klären, wie ich den Schlüssel nun auf den zweiten YK übertragen kann?

Vorab vielen Dank für die Hilfestellung!

 

[Helge01]

Geht nicht. Du kannst keinen Private Key aus den YubiKey exportieren. Das wäre auch fatal da damit die Sicherheit gefährdet wäre.

Mein Vorgehen war damals das ich einen PGP Schlüssel auf dem PC erstellt habe und dieser wurde dann auf mehreren YubiKeys importiert.

https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP

Warning: Generating the PGP on the YubiKey ensures that malware can never steal your PGP private key, but it means that the key can not be backed up so if your YubiKey is lost or damaged the PGP key is irrecoverable.

Ein YubiKey ist eine Einbahnstraße, rein gehts aber nicht mehr raus.

 

[T00L]

Je nach System lassen sich auch mehrere Yubikeys registrieren.

 

[CB_usr90]

@Helge01

ich kann in Openkeychain ein Backup des importierten Schlüssel des Alltags Yubikey erstellen und diese Datei könnte ich doch dann mit einem Programm unter Windows auf einen weiteren Yubikey erstellen? Die Backup seg.pgp Datei samt Backup Code liegt vor.
Muss ich also irgendwie auf den Backup YK bekommen. Gibt's genau hierfür kein tool womit ich das bewältigen kann?

 

[Helge01]

Hast du den PGP Private Key vom YubiKey selbst erstellen lassen oder wurde dieser außerhalb generiert und anschließend importiert? Bei letzterem könnte es funktionieren, kenne aber OpenKeychain nicht.

 

[CB_usr90]

Bei OpenKeyChain habe ich bei der Einrichtung "Security Token" ausgewählt und musste dann lediglich den Yubikey an mein Smartphone halten.
Danach war alles eingerichtet.
Kann aber via OKC auch ein lokales Backup des Schlüssels erstellen, wie ich es in meinem vorherigen Post bereits geschildert habe.

Solch ein Schlüssel kann man mit der Konsole am PC auf den YK schieben, aber leider finde ich das ein wenig kompliziert und drum wäre es gut, wenn es hierfür ein Programm gibt.

Mein Wunschdenken:

Backup Yubikey in den PC stecken ~> lokalen PGP Schlüssel auswählen und Backup Code eingeben ~> Backup YK auswählen ~> Programm schreibt den PGP Schlüssel auf den Backup YK ~> fertig.

Gibt's so etwas?

 

[Helge01]

Da kann ich dir nicht weiterhelfen, mache immer alles auf der Konsole auf "altmodischer Art".
Vielleicht hat noch jemand einen Tipp für dich, kann mir aber nicht vorstellen das es so was gibt.

 

[CB_usr90]

Also per Konsole funktioniert das? Könntest Du mir solch einen Befehl posten, womit ich das umsetzen kann?

 

[Helge01]

Vermutlich bin ich so vorgegangen wie es Yubico dokumentiert hat.
https://developers.yubico.com/PGP/Importing_keys.html

Ich habe zwar noch die YubiKeys mit PGP Schlüssel nutze sie aber dafür nicht mehr. Das konfigurieren ist nicht so einfach, vor allem wenn man Backups benötigt und der Thunderbird unterstützt für PGP keine Karten mehr.