%20%EA%B0%9C%EC%9D%B8%20%ED%82%A4%20%EB%82%B4%EB%B3%B4%EB%82%B4%EA%B8%B0.png)
Windows에서 YubiKey 4와 함께 GPG4Win을 사용하고 있습니다.
--card-edit 프롬프트를 사용하여 키를 생성했으므로 (AFAIK) 카드를 떠나지 않았어야 합니다.
PuTTy 통합을 사용하면 SSH 인증에 적합합니다.
개인 키가 스마트 카드(YubiKey)에 안전하게 저장된 경우 개인 키를 내보낼 수 없어야 한다는 인상을 받았습니다. 암호화 작업은 카드 온보드 프로세서로 전달되어 개인 키가 나가는 것을 방지하기 때문입니다.
그러나 GPG4Win GUI에서 Kleopatra를 열고 내 키를 마우스 오른쪽 버튼으로 클릭한 다음 "비밀 키 내보내기"를 클릭하면 암호화되지 않은 개인 키가 아주 행복하게 내보내집니다.
나는 이런 종류의 토큰 주변의 보안 대상을 무효화한다고 생각합니다. 내가 뭘 잘못하고 있는 걸까요?
저는 관리자 PIN도 입력하지 않았고 SSH를 통해 인증하는 데 사용했던 표준 PIN만 입력했습니다.
이것이 예상된 동작이라면 토큰이 연결되어 있을 때 공격자가 내 PC에서 백그라운드로 키를 덤프하는 것을 중지하려면 어떻게 해야 합니까? 어떤 종류의 추가 승인도 요구하지 않았습니다.