GPG 智能卡 (YubiKey) 私钥导出

GPG 智能卡 (YubiKey) 私钥导出

我在 Windows 上使用 GPG4Win,带有 YubiKey 4。

我使用 --card-edit 提示符生成了密钥,因此它们(据我所知)应该从未离开过卡。

使用 PuTTy 集成,它可以很好地用于 SSH 身份验证。

我的印象是,如果私钥安全地存储在智能卡(YubiKey)上,您就不应该能够导出私钥,因为加密操作被交给卡上的处理器以避免它离开。

但是,如果我打开 Kleopatra GPG4Win GUI,右键单击我的密钥并“导出密钥”,它会很乐意导出未加密的私钥。

我觉得这有点破坏了令牌安全的目的——我做错了什么?

我甚至没有输入管理员 PIN,只输入了标准 PIN,因为我一直使用它通过 SSH 进行身份验证。

如果这是预期行为,那么当令牌插入时,如何阻止攻击者从我的电脑后台转储密钥?它甚至没有提示任何进一步的授权。

相关内容