.png)
Ich verwende GPG4Win unter Windows mit einem YubiKey 4.
Ich habe die Schlüssel mit der Eingabeaufforderung „--card-edit“ generiert, sodass sie (soweit ich weiß) die Karte nie verlassen hätten dürfen.
Mithilfe der PuTTy-Integration funktioniert es hervorragend für die SSH-Authentifizierung.
Ich war der Meinung, dass Sie den privaten Schlüssel nicht exportieren können sollten, wenn er sicher auf der Smartcard (YubiKey) gespeichert ist, da Kryptooperationen an den integrierten Prozessor der Karte übergeben werden, um zu verhindern, dass er verloren geht.
Wenn ich jedoch Kleopatra, die GPG4Win-GUI, öffne, mit der rechten Maustaste auf meinen Schlüssel klicke und „geheimen Schlüssel exportieren“ auswähle, wird mein privater Schlüssel problemlos unverschlüsselt exportiert.
Ich habe das Gefühl, dass dies den Zweck der Sicherheit rund um das Token zunichte macht. Was mache ich falsch?
Ich hatte nicht einmal die Admin-PIN eingegeben, sondern nur die Standard-PIN, da ich diese zur Authentifizierung über SSH verwendet hatte.
Wenn dies das erwartete Verhalten ist, was hindert einen Angreifer daran, den Schlüssel im Hintergrund von meinem PC zu übertragen, wenn das Token eingesteckt ist? Es wurde nicht einmal nach einer weiteren Autorisierung gefragt.