将 gpg 私钥存储在我的本地计算机上是否是好的/常见做法,即使我打算将它们用于 pass,这显然会加密敏感数据。
有没有明智的替代方案,例如将其存储在 USB 记忆棒上?
我使用的是 Debian Buster Machine。
编辑:请告诉我这个问题是否放错了地方。我会立即删除它
答案1
常见做法?确实。
好的做法?这取决于您的威胁模型以及您要保护的数据的敏感程度。
例如,我喜欢将 PGP 与智能卡一起使用,并使用带有密码键盘的读卡器。因此,键盘记录器无法窃取密码。如果计算机被盗,子密钥不会存储在本地。那么我的 PGP 密钥被泄露的风险就很低。
我还确保在没有网络访问权限并运行 Tails 等实时发行版的气隙计算机上生成密钥,然后立即将它们传输到智能卡。
总而言之,您需要保护两件事:私钥和密码。您计算机上安装的特洛伊木马可能会同时获取这两者。
假设您的钥匙存储在笔记本电脑上并且它被盗了。假设您的笔记本电脑没有加密的磁盘、BIOS 密码或某种障碍,窃贼可以访问私钥,但没有密码,尽管理论上可能会发生暴力攻击。
当然,您可以更好地保护笔记本电脑,例如使用 luks 或其他方案加密您的分区,使用强密码这不容易猜到。然后你就让小偷很难或根本不可能泄露你的秘密。
是的,PGP 密钥应该得到很好的保护,但良好的计算机安全卫生并不止于此。