たとえパスに使用するつもりであっても、明らかに機密データを暗号化する gpg 秘密鍵をローカル マシンに保存するのは良い/一般的な方法でしょうか。
USB スティックに保存するなど、賢明な代替手段はありますか?
私は Debian Buster マシンを使用しています。
編集: この質問が間違っている場合はお知らせください。すぐに削除します。
答え1
一般的な慣行ですか? 確かにそうです。
良い実践方法とは? 脅威モデルと、保護しようとしているデータの機密性によって異なります。
たとえば、私はスマート カードで PGP を使用し、PIN パッド付きのリーダーを使用しています。こうすることで、キーロガーがパスフレーズを盗むことができなくなります。コンピューターが盗まれた場合でも、サブキーはローカルに保存されません。そのため、PGP キーが侵害されるリスクは低くなります。
また、ネットワーク アクセスがなく、Tails などのライブ ディストリビューションを実行しているエアギャップ コンピューターでキーを生成し、すぐにスマート カードに転送するようにしています。
まとめると、保護する必要があるのは、秘密鍵とパスフレーズの 2 つです。マシンにインストールされたトロイの木馬は、その両方を取得する可能性があります。
たとえば、キーがラップトップに保存されていて、それが盗まれたとします。ラップトップに暗号化されたディスク、BIOS パスワード、または何らかの障害がない限り、泥棒は秘密キーにアクセスできますが、パスフレーズはわかりません。ただし、理論上はブルート フォース攻撃が可能です。
もちろん、ラップトップをより良く保護することもできます。たとえば、パーティションをluksまたは別のスキームで暗号化し、強力なパスワード簡単に推測できないパスワードを作成すれば、窃盗犯があなたの秘密を漏らすことが困難、あるいは不可能になります。
はい、PGP キーは十分に保護する必要がありますが、適切なコンピュータ セキュリティ対策はそれだけでは終わりません。