问GnuPG + Yubikey 4:如何手动检查所有密钥是否都在它们所属的位置(仅在Yubikey上)？

EN

如果您将子项放在YubiKey上，您仍然应该将主私钥放在某个地方--它是唯一可用于撤销密钥、创建新子项、修改用户ID、验证他人密钥的实体，……

• 我如何检查所有3个子键而没有主键在Yubikey 4上？
• 如何检查计算机上是否有敏感的密钥资料？

要验证卡上的内容，请运行gpg --card-status，它应该打印几行信息，包括三行名为“签名密钥”、“加密密钥”和“身份验证密钥”的信息。这些应该打印你的子项的指纹，而不是你的主钥匙的指纹。不要为“一般密钥信息”而烦恼，它是对您的主(公共)密钥的引用，而不是存储在卡上。

若要验证密钥未存储在计算机上，请运行gpg --list-secret-keys。存储在计算机上的密钥被标记为sec或ssb用于子项，密钥不可用(例如，当您导出的仅运行gpg --export-secret-subkeys的秘密子项被标记为sec#时，秘密密钥存根只能在OpenPGP智能卡上使用ssb> (如YubiKey也实现)。密钥存根是指密钥不可用或存储在智能卡上的简单引用，不包括实际的私钥。

• 如何在我的第二台机器(Linux)上使用相同的Yubikey --我是否必须将任何证书导入到GnuPG/GPA中？

要在另一台计算机上使用这些键，您需要将“秘密子键存根”导出到这台机器上，您可以运行gpg --export-secret-subkeys [key-id] (列出主键的ID)。在新机器上导入之后，您不应该看到sec或ssb，而应该只看到主私钥存根的sec#和子键存根的ssb>。

• 我第一次尝试用一张来自不同来源的live创建密钥，但在Windows中，Kleopatra不允许我使用我的Yubikey。所以我用Windows来创建密钥，它起了作用--现在我担心密钥在硬盘上的某个地方。lol如果有人能给我指明正确的方向，如何让它在live上与密钥创建一起工作，并在正常的系统上使用，那将是非常棒的。

这看起来好像您没有像上面描述的那样运行--export-secret-subkeys，所以“常规”设置上的GnuPG安装程序根本不知道私钥。无论如何，公钥不会存储在卡上。

使用活动CD时，一定要创建存储在安全位置的主主键的一些持久副本(您仍然需要它！)此外，如果您需要撤消整个密钥，并且丢失了对主私钥的访问，那么您可以轻松地访问吊销证书。