.png)
Estoy usando GPG4Win en Windows, con YubiKey 4.
Generé las claves usando el mensaje --card-edit, por lo que (AFAIK) nunca deberían haber abandonado la tarjeta.
Al utilizar la integración de PuTTy, funciona muy bien para la autenticación SSH.
Tenía la impresión de que no debería poder exportar la clave privada si está almacenada de forma segura en la tarjeta inteligente (YubiKey), ya que las operaciones criptográficas se transfieren al procesador integrado de la tarjeta para evitar que se vaya.
Sin embargo, si abro la GUI GPG4Win de Kleopatra, hago clic derecho en mi clave y "exportar clave secreta", felizmente exportará mi clave privada sin cifrar.
Siento que esto derrota el objeto de la seguridad alrededor del token: ¿qué estoy haciendo mal?
Ni siquiera había ingresado el PIN de administrador, solo el PIN estándar, ya que lo había estado usando para autenticarme a través de SSH.
Si este es el comportamiento esperado, ¿qué se debe detener y el atacante descarga la clave en segundo plano desde mi PC cuando el token está conectado? Ni siquiera solicitó ningún tipo de autorización adicional.