如果我从 gnome-keyring 中删除密码，后台会发生什么？未加密的 ssh-key 或密码是否可以在文件系统中读取？

我不知道如果我从 gnome 密钥环中删除解锁密码，后台会发生什么

密钥环的密码是不是直接用作 SSH 密钥的密码。它仅用于加密单个文件 - 位于 的数据库~/.local/share/keyrings/login.keyring。

您的所有 SSH 密钥和其他文件将保持使用原始密码加密。

（旧系统可能有两个单独的密钥环“登录”和“默认”。在这种情况下，您只需要解密“登录”密钥环，因为它还存储了所有其他密钥环的密码。）

我其实并不关心有没有密码来解锁密钥环，因为我有 LUKS 分区加密，除非人们知道我的 LUKS 密码，否则他们无法使用密钥环。但我确实关心如果我删除密钥环密码，任何正在运行的程序是否可以直接从文件系统访问一些纯文本密钥。

对此我有两个不同的答案，但都是坏消息：

• 第一个问题是你的密码是唯一加密密钥来源GNOME Keyring 可以使用它。如果您删除密码，GNOME Keyring 将被迫以完全未加密的方式存储其密码数据库。（它甚至会将keyrings/login.keyring二进制数据库转换为文本格式，以使这一点非常清晰。）

  这不会直接改变您的 SSH 密钥文件的任何内容：如果它们之前已加密，则之后仍会加密。但它们的加密密码，以及所有其他密码和密码（甚至可能是您的 GnuPG 密钥密码）都将存储在 GNOME Keyring 的数据库中以纯文本形式。

  因此，如果您最担心的是直接文件系统访问，那么是的，您的密钥可能会被盗 - 攻击者现在只需要窃取一个额外的文件。

• 第二个问题是……第一个问题根本不重要，因为常规应用程序不限只能访问自己的密钥环条目。只要你的 GNOME 密钥环已解锁，任何非 Flatpak 程序都可以使用官方 API 查询密钥环中存储的任何条目并获取所需的任何存储密码，没有需要窥探内存或其他诡计。从 CLI 尝试一下：

  secret-tool search --all xdg:schema org.freedesktop.Secret.Generic
  secret-tool search --all xdg:schema org.gnupg.Passphrase
  

  因此，密钥环密码仅用于防止离线攻击（并且在使用 LUKS 时是多余的）——它从来没有用于防止正在运行的系统上的恶意软件。

以下是一些提高安全性的想法（主要假设您防范的是一般漏洞/病毒/蠕虫而不是有针对性的攻击）：

• 如果可能的话，通过 Flatpak 安装应用程序。默认情况下，它们被限制在无法访问你的文件的容器中和也无法访问你的密钥环。

• Flatpak 中没有的应用程序可以在不同的 UID 下运行（例如通过 Xvnc 或 Xephyr 使它们显示在主屏幕上）。有些人以这种方式运行 Firefox，因此有很多教程。

• SSH 密钥仅可加载进入ssh-agent 但未提取出去除此之外，还可以配置 AppArmor 或 SELinux，以防止任何除‘ssh-add’之外的进程无法访问~/.ssh/id_*文件。

• 您可以将 RSA 或 ECDSA 密钥存储在专用硬件令牌中 - 例如，如果您的笔记本电脑有 TPM 芯片。（如果没有，那么支持 PIV/OpenPGP 的 Yubikey 可以以不同的方式完成相同的工作。）就像 ssh-agent 本身一样，令牌不会允许您取回原始密钥 - 它只提供签名操作。

  （理论上，FIDO/U2F 令牌的工作方式相同，但它们只允许以非常特定的格式签名数据，因此不能重新用作普通的 SSH 密钥。最新版本的 OpenSSH能使用采用新sk-*密钥类型的 FIDO 令牌，但所有服务器也必须首先升级以支持它们。）

• 缺乏硬件支持，你可以将 ssh-agent 与 SoftHSM 虚拟智能卡结合起来，但它仍然是软件但让它在专用 UI​​D 下运行非常容易。这样，您的主 UID 将无法访问 SoftHSM 的数据库，并且只能执行其 PKCS#11 模块允许的操作。

• 我猜是 Qubes OS？