智能卡 – GPG密钥签名方w.在yubikey上分离主密钥和子密钥

sec#  rsa4096/E97E8047 2016-07-18 [C]
uid         [ultimate] Jonas Finnemann Jensen <jojensen@mozilla.com>
uid         [ultimate] Jonas Finnemann Jensen <jopsen@gmail.com>
uid         [ultimate] Jonas Finnemann Jensen <jonasfj@mozilla.com>
ssb>  rsa2048/65F03C8F 2016-07-18 [S]
ssb>  rsa2048/3DC1E49C 2016-07-18 [E]
ssb>  rsa2048/7AD1E9A1 2016-07-18 [A]

简而言之：

>万能钥匙认证功能,存储在USB驱动器上(只能从没有互联网的livecd会话访问)
> 3个具有身份验证,签名和加密功能的子密钥,存储在yubikey上,始终附加在我的密钥环中.

据我了解,如果没有我的主密钥,我无法签署其他GPG密钥.
那么我该如何参加GPG密钥签约方？没有带着我宝贵的万能钥匙旅行？

我可以做些什么来保护我的主密钥？

>我尝试将它移动到yubikey,但失败了(因为它没有S,E或A功能.我错过了一个技巧吗？
>我可以使用其他设备吗？
>我可以将我的主密钥放在连接到服务器的HSM上,并通过我的yubikey上的子密钥验证的SSH连接到它,然后是远程签名密钥吗？如果是这样,哪些硬件可以容纳GPG主密钥？

到目前为止,我唯一的选择似乎是将主密钥随身携带在USB密钥上,并在参加密钥签名方时启动livecd.

注意：方便很重要.不方便的程序是一个重大的安全风险,由于我的合规性差:)