GPG 秘密キーをローカル マシンに保存しますか?

GPG 秘密キーをローカル マシンに保存しますか?

たとえパスに使用するつもりであっても、明らかに機密データを暗号化する gpg 秘密鍵をローカル マシンに保存するのは良い/一般的な方法でしょうか。

USB スティックに保存するなど、賢明な代替手段はありますか?

私は Debian Buster マシンを使用しています。

編集: この質問が間違っている場合はお知らせください。すぐに削除します。

答え1

一般的な慣行ですか? 確かにそうです。

良い実践方法とは? 脅威モデルと、保護しようとしているデータの機密性によって異なります。

たとえば、私はスマート カードで PGP を使用し、PIN パッド付きのリーダーを使用しています。こうすることで、キーロガーがパスフレーズを盗むことができなくなります。コンピューターが盗まれた場合でも、サブキーはローカルに保存されません。そのため、PGP キーが侵害されるリスクは低くなります。

また、ネットワーク アクセスがなく、Tails などのライブ ディストリビューションを実行しているエアギャップ コンピューターでキーを生成し、すぐにスマート カードに転送するようにしています。

まとめると、保護する必要があるのは、秘密鍵とパスフレーズの 2 つです。マシンにインストールされたトロイの木馬は、その両方を取得する可能性があります。

たとえば、キーがラップトップに保存されていて、それが盗まれたとします。ラップトップに暗号化されたディスク、BIOS パスワード、または何らかの障害がない限り、泥棒は秘密キーにアクセスできますが、パスフレーズはわかりません。ただし、理論上はブルート フォース攻撃が可能です。

もちろん、ラップトップをより良く保護することもできます。たとえば、パーティションをluksまたは別のスキームで暗号化し、強力なパスワード簡単に推測できないパスワードを作成すれば、窃盗犯があなたの秘密を漏らすことが困難、あるいは不可能になります。

はい、PGP キーは十分に保護する必要がありますが、適切なコンピュータ セキュリティ対策はそれだけでは終わりません。

関連情報